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Procede, systeme, dispositif pour diminuer la charge de travail pendant 
une session destinee a prouver Pauthenticite d'une entit^tt/ou l'origine 
et Fintegrite d'un message.. 

La presente invention conceme les proc^des, les systfemes^ainsi que les 
dispositifs destines a prouver 1' authenticity d'une entile et/©u Forigine et 
1'integrite d'un message. 

Le brevet EP 0 31 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : « brevet GQ » ou « procede GQ ». 
Selon le procede GQ, une entite appelee « autorite de confiance » attribue 
une identite a chaque entity appelee « temoin » et en calcule la signature 
RSA; durant un processus de personnalisation, Tautorit^ de confiance 
donne identite vet signature au temoin > Par-- la suite^le temoin proclame : 
« Voichmonrtidentite^ j'en connais la signature<*RS*A". » Le temoin prouve 
sans:la reveler qu'il connait la sign^ture^RSA de*sonadentite: GrSce a la cle 
publique de-verification RSA distribute par 1' autorite de confiance, une 
entit6 ^appelee « cohtrSleur » verifie* sans^en prendre connaissance que la 
signature RSA correspond & 1' identite proclamee. Les mecanismes utilisant 
le procede GQ se d^roulent « sans transfert de connaissance ». Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Tautorite de confiance signe un grand nombre d'identites. La securite du 
procede GQ est au mieux equivalente a la connaissance de la signature 
RSA de l'identite. II y a equivalence lorsque Fexposant public de 
verification RSA est un nombre premier. 

Le procedS GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant* sensiblement la 
meme faille ^elev#s^fk ~des-^puissanGes-*.de 4'ordre— de*—2 16 + L Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
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monolithiques depburvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliqu6es par des 
precedes tels que le precede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant k 
accroitre la s6curit6 des cartes de paiement, les autorit6s bancaires posent 
un probleme particulierement d61icat a resoudre. En effet, il faut traiter 
deux questions apparemment contradictoires : augmenter la s6curite en 
utilisant des cles de plus en plus longues et distinctes pour chaque carte tout 
en evitant que la charge de travail n' entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
oil, en outre, il convient de tenir compte de F infrastructure en place et des 
composants microprocesseurs existants. 

L' invention a pour objet d'apporter une solution k ce probleme tout en 
renfor?ant la securite. Plus particulierement, 1* invention conceme un 
proced6 pour diminuer la charge de travail pendant une session destinee k 
prouver k un controleur, 

- T authenticity d'une entit6 et/ou 

- Torigine et Tintegrite d'un message mm. 

Procede 

Le procede selon V invention, met en ceuvre les trois entites ci-apres 
definies. 

I. Une premiere entite, appelee temoin, dispose des facteurs premiers p l9 p 29 
(p. 9 ...) (i etant superieur ou egal a 2) d'un module public n tel que hi = 
Pi -Pi* P3 0 000 • temoin dispose aussi 

* des composantes QA l9 QA 2? ... (QA j9 .0.), et QB l9 QM 29 ... (QB i9 .. 0 ),. 
representant des cles privees QA 5 QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA l9 GA 29 ... (GA,, *..) et GB l9 GB 29 ... (GB j9 ...) 



* des exposants publics de verification vx, vy, ... 

Les ctes privees et les eies publiques sont liees par Hfeslrelatibns du type : 

GA.QA" mod n = 1 oiuGA = QA~mod*n * 
Les exposants pubUes de^v6rification vx, vy, ... sonfeutilis6s*par«le t^moin 
pour caleuler des^engagements R en*effeetuant des operations du type : 

R = r" mod p, 
ou r, est un alda tel que 0 < r, < p, . 

Ainsi, selon le nouveau precede, les roles de temoin et d'autorite de 
confiance fusionnent. Chaque temoin utilise la factorisation p |f p 2 , ... (p t , 
...) de son propre module public n. De sorte que le nombre d' operations 
arithm&iques modulo p, & effectuer pour caleuler chacun des R, pour 
chaeun des p, *est«Feduit*par*ra^ etaient 
effeemees*meMM<^n*L^ n r6duit 

signifiGMivement^ au precede 

GQ,;et a fo^or^pawmpp^rt«k dvaiatoes«pro6ed6s*tekque le precede RSA de 
signature, le proeede'selon*r invention permet de*substantielles economies 
de caleul, en»pai*tiGuH^ 

II. Le precede selon 1* invention met en ceuvre une deuxfeme entite pilote 
dudit temoin. Cette entite pilote est appelee 

* demonstrates dans le cas de la preuve de T authenticity d'une entite 
ou de Tauthenticite d'un message, 

* signataire dans les cas de la preuve de l'origine et de Tintdgrite d'un 
message. 

On verra ci-apr^s quel- est son-role^ 

III. La troisifcme entity, appeiee contrSleur, v&ifie rauthentification ou 
Torigine et 1' integrate d'un message^ 

Selon -»r invention-, le temoin re9oit^de 4a -deuxifeme entite -pilote ou du 
controleur un ou plusieurs defis d tel que 0 < d < vx - 1 et calcule k partir de 
ce defi une ou plusiews r6ponses D en effectuant des operations du type : 




DjSr,. QA. d mod p. 
ou it. est un alea tel que (Q>< r. < p l 

On constatera ici, de meme que precedemment, que le nombre d' operations 
arithrndtiques modulo p. k effectuer pour calculer chacune des r6ponses D. 
5 pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 

6taient effectu6es modulo n. 

Le contrSleur re9oit, selon le cas, une ou plusieurs reponses Do II calcule, a 
partir desdites reponses ID, les engagements W en effectuant des operations 
du type : 

10 R^GA'cD" modm 

ou du type : 

Le controleur peut alors verifier que les triplets {R% d, D} sont coh^rents. 
Dans le cas general qui vient d'etre expose, il y a plusieurs exposants de 
15 verifications vx, vy, .... On va main tenant exposer F invention dans le cas 

oii l'exposant de verification v est unique. 

Cas ©in I'exposamt de vfrifJcatfomi v est unnrnquae 
De meme que precedemment, le procede selon F invention met en oeuvre 
trois entites : 

20 I- Une premiere entite, appelee temoin, dispose des facteurs premiers p„ p 2 , 

... (p. 9 ooo) (i etant superieur ou egal h 2) d'un module public m tel que n = 

Pi*P 2 * Pa 

Le temoin dispose aussi 

* des composantes QA l9 QA 2 , ... (QA,, ...), et QB lf QB 2 , ... (QB f , ...), 
25 representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA l9 GA 2 , ... (GA i9 ..o) et GB l9 GB 2? ... (GB |f ...) 

* de Fexposant public de verification v 

Dans ce cas comme dans le precedent, il est pr£vu plusieurs paires de cles 



r6f£renc6es A, B, ... 

Les paires de cl6s privies et publiques sont liees par ses telatibns du type : 

GA.QA V mod n = lou GA s QA v mod»n 
L'exposant public unique de verification v est utilise parole t£moin *pour 
calculer des engagements R. A cet effet : 

• il effectue des operations du type : 

R. = r, v mod p ( 

ou r, est un entier, tir£ au hasard, associe au nombre premier p,, tel que 0 < 
r, < p, , appartenant h. au moins une collection d'aleas {r,, r 2 , r 3 , ...}, 

• puis il applique la m£thode dite des restes chinois, (on d6crira ci-aprfcs la 
m6thode des restes chinois qui est connue en soi). 

II y a autanfcd'engage.mente^ ...}, 
Bien entendu* dans^ee cas comme*dans le cas gen6ral precedent, le nombre 
d'op^rationsrarithmetiques modulo^p^tffc effectuer pour calculer chacun des 
Rj pour chacun des p, est reduitepar rapport a xe qu'il tserait si les 
operations etadent effeduees modulo n. 

II. La deuxi6rne<entite pilote duditltemoin est appel£e*?< 

* demonstrates dans le cas de la preuve de T authenticity d'une entite 
ou de T authenticity d'un message, 

* signataire dans les cas de la preuve de Torigine et de Fintegrite d'un 
message, 

III. La troisifcme entite, appelee contrdleur, v6rifie Fauthentification ou 
Forigine et Tintegrite d'un message. 

Plus particuli&rement, dans le cas de cette variante de realisation le temoin 
re9oit de la deuxifeme entite ou du controleur, des collections de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de d6fis d 
est 6gaUau -nombre d'engagemente^R.-sChaque colleetion^{dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cl6s. 
Le temoin calcule a partir de chacune desdites collections de defis {dA, dB, 
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•oo} des r6ponses D>. A cet effet : 
o il effectue des operations du type : 

D. = r ( . QA. " . QB. ** . ... mod p, 
o puis il applique la m6thode des restes chinois. 
II y a autant de reponses D que d'engagements R et de defis d. 
II convient de souligner, ici aussi, que le nombre d' operations arithm^tiques 
modulo p, k effectuer pour calculer chacun des D, pour chacun des p est 
r6duit par rapport k ce qu'il serait si les operations etaient effectu6es 
modulo e. 

Le controleur re9oit une reponse D. II calcule a partir de cette r6ponse un 
engagement W en effectuant des op6rations du type : 

R'=GA d \<SB d \.o.]D> v modm 

ou du type : 

R\ GA GIB ...s D v modi un 
Le contrdleur v6rifie que les triplets {R% d, B} sont coherents. 
Ainsi, gr§ce a la presente invention, le temoin qui proclame : « Voici une 
cle publique de verification (v, n) et une cle publique GA ; je connais la 
factorisation de n et la cle privee QA » prouve sans la reveler qu'il connatt 
la cle priv6e QA. Le controleur verifie la c!6 privee QA sans en prendre 
connaissance. Les mecanismes se deroulent « sans transfert de 
connaissance ». On le verra ci-aprfes, que le procede selon Tinvention 
autorise certaines paires de cl6s telles que la connaissance de la cle priv6e 
QA est 6quivalente a la connaissance de la factorisation du module n. 
On va maintenant exposer les variantes de realisation de V invention 
concernant : 

- le cas d'une authentication d'entite, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'one aothenttfficattioini d'eintntte 



Cas oii Pexposant de verification v est unique. 

Dans le cas de cette variante de realisation particultere, la session est 
destin6e k prouver a un contrdleur F authenticity d'une entity 
Comme dans le cas gen6ral, la session met en ceuvre trois entit^s. 

I. Une premiere entity appetee temoin, dispose des*f acteurs premiers p , p 2 , 
(p, , ..•) (i 6tant superieur ou 6gal k 2) d'un module public n tel que n = 

Pi-P 2 - Pa 

Le t6moin dispose aussi : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB, , ...), 
repr6sentant des cles privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ay ant respectivement pour 
composantes GA^GA^... (GA,, ...) etGB^ GB^ ... (GB^ ...) 

* de Fexposant public de verification v 

Les paires de cl6s*privees et publiques sont liees par des relations du type : 
GA^QA* mod n s 1 ou GA =2 QA v mod n 

II. La deuxieme entite, pilote dudit temoin, est appelee demonstrates. 

III. La troisiemeventiterappeleevContrSleu^ verifie r authentification. 
Pour prouver 1' authenticity d'une entity le temoin, le demonstrates et le 
controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r,, r 2 , r 3 , ...},telle que, pour chaque facteur premier p., 
chaque collection comporte un alea r,positif et plus petit que p. , 
Pour chaque facteur premier p. , le temoin eleve- chafque^lea ^r, k la 
puissance v ieme modulo p. 

R.srj y modp, 

On notera que le nombre d'op^rations arithmetiques modulo p, £ effectuer 
pour calculer chacun des R, pour chacun des p, est reduit par rapport k ce 
qu'il serait si les operations 6taient effectuees modulo n. 



Puis, le temoin etablit chaque engagement R modulo n selon la m&hode 
des restes chinois. 

II y a autant d' engagements R que de collections d'ateas {r l9 r 29 jt 3 , .„}, 

o ©tape 2o deO d dlestnee ami temoSnn : 
Le demonstrates transmet tout ou partie de chaque engagement R au 
contrSleur. 

Le controleur, apres avoir rcqu tout ou partie de chaque engagement R 9 
produit au moins une collection de defis d {dA, &M 9 o«} tels que <D < dlA < v 
- 1. Le nombre des collections de defis d est 6gal au nombre d' engagements 
R. Chaque collection {&A 9 dB, ...} comprend un nombre de defis egal au 
nombre de paires de cl6s. 

o ettape 3* repomse du ttemolmi ami deffl d : 
Le temoin calcule des reponses B h partir des collections de defis dl {dA, 
dB, ...} re?ues du controleur. A cet effet : 
il effectue des operations du type : 

ED. = r. . QA. tt o QBj ** . .„ mod p ( 
puis, il applique la methode des restes chinois. 

Le nombre d'operations arithmetiques modulo p, a effectuer pour calculer 
chacun des B l pour chacun des p, est r^duit par rapport a ce qu'il serait si 
les operations etaient effectu6es modulo un. 

II y a autant de reponses B calculees par le temoin que d' engagements R et 
de defis d. 

o ettape 4. doirainees destiiniees aim contrfileiuur : 
Le demonstrates transmet au contr61eur chaque r^ponse B. 

o ettape 5, veoflcatnomi par lie comtrfileiuur : 
Le controleur calcule a partir de chaque reponse B un engagement W en 
effectuant des operations du type : 

r=GA dA .GB dB , a ..D r mod mi 
ou du type : ^ 



GA dA . GB dB . ...= D ¥ mod n 
Le contrdleur verifie que chaque engagement reconstruit IT reproduit tout 
ou partie de chaque engagement R transmis & 1'etape- 2 par le 
demonstrateur. 

Cas d'une authentication de message ^ 
cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particulifere, la session est 
destinSe k prouver a un contrdleur 1' authenticity d'un message m. 
Comme dans le cas general, la session met en ceuvre trois entitds. 

I. Une premiere entite, appelee t£moin, dispose des facteurs premiers p,, p 2 , 
— (p,» .«) (i etant superieur ou egal a 2) d'un module public n tel que n = 

Le t6moin*dispose aussi : 

* des composantes QA„ QA 2 , ... (QA, , ...), et QB,, QB lf ... (QB |5 ...), 
representant des cles privees QA, QB, 

* des^cl6s<~*publiques*GA, GB, ... ayant respectivement pour 
composantes GA£ GA 2 t (GA. *>....)♦ et GB ti GBj ... (GB. , ...) 

* de l'exposant public de verification v 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n = 1 ou GA = QA'mod n 

II. Une deuxieme entite, pilote du temoin, est appelee demonstrateur. 

III. Une troisieme entite, appelee contrdleur, v6rifie 1' authenticity d'un 
message. 

Pour prouver 1' authenticity d'un message le temoin, le demonstrateur et le 
controleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 
A chaqu^appelrle temoin tire-au hasaridtet en prive au .moins une collection 
de nombres entiers {r„ r 2 , r 3 , ...}, telle que pour chaque facteur premier p., 
chaque collection comporte un alea r.positif et plus petit que p s . 
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Pour chaque facteur premier p. , le tdmoin eleve chaque al6a r f k la 
puissance v ieme modulo p. 

■ R = r, v mod p. 

(de sorte que le nombre d' operations arithmetiques modulo p s a effectuer 
pour calculer chacun des R M pour chacun des p t est reduit par rapport a ce 
qu 'il serait si les operations etaient effectuees modulo n ) 
Puis, le temoin etablit chaque engagement R modulo n selon la m6thode 
des restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r l9 r 29 r 3 , ...}, 

o ettape 2. deO d destine m teoioM t 
Le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message mm et chaque engagement R pour obtenir un jeton T. 
Le demonstrateur transmet le jeton T au controleur, 

Le controleur, aprfcs avoir re$u le jeton T 5 produit au moins une collection 
de defis d {dA, dB, * 0 .} tels que <Q> < dA < v = 1. Le nombre des collections 
de defis d est egal au nombre d'engagements R. Chaque collection {dA, 
dB, ,.,} comprend un nombre de d6fis egal au nombre de paires de cles. 

o ettape 3. repomse dun temolim sm deffi d t 
Le temoin calcule les reponses B a partir des collections de defis d {dA 9 
dB 9 oo.} re9ues du contrdleur. A cet effet, 
il effectue des operations du type : 

B. = r. . QA. . QB. ** o ... mod p. 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p, h effectuer pour calculer 
chacun des B, pour chacun des p, est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo m. 

II y a autant de reponses B calculees par le temoin que d'engagements R et 
de defis d. 

o etape 4. doonees destipees ao controleur : 
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Le demonstrates transmet au contrdleur chaque reponse D. 

* etape 5. verification par le controleur- : 

Le contr©leur calcule k partir de chaque repense-D^un«engagement R' en 
effectuant des operations du type : 

R*s GA dA . GB * . ... mod n 

ou du type : 

R\ GA GB dB . ...= D v mod n 

Le controleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R> pour reconstruire le jeton 
T\ 

Le contrSleur verifie que le jeton T' est identique au jeton T transmis a 
retape-2 par Je^d^rn©nstrateuro 

Castd>,une*signatu^ 
Ca^tou«KexposanM 
Dans le i:as*deMeettemvar^^^ session est 

destinee a prou*wer a un*eontr§l^r4a#signature numeriqu^d'un message m. 
Ctfmme dans-le ©as^goneFal^la sessiontmet en €Eu^re>tr<Dis*entdt6s. 
L Une premiere entite appelee temoin dispose des facteurs premiers p„ p 2 , 
... (p. , ...) (i etant superieur ou egal a 2) d'un module public n tel que n = 

P,-P 2 - P 3 

Le temoin dispose aussi 

* des composantes QA„ QA 2 , ... (QA,, ...), et QB P QB 2 , ... (QB,, ...), 
representant des cles privees QA, QB, ... 

* des ^cles-* publiques GAr**GB-*\ . . ayant— respeetivemeiit pour 
composantes GA„ GA 2 , ... (GA t , ...) et GB,, GB 2 , ... (GB,, ...) 

* de Texposant public de ve#fiGati®n v. 

Les paires de clesprivees et publiques sqnt li6es par des, relations du type : 

GA.QA* mod n = 1 ou GA = QA v mod n 
II. Une deuxieme entit6, pilote dudit t6moin, est appelee signataire. 
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III. Une troisieme entite, appelee contrdleur, verifie la signature du message 
m. 

Pour prouver la signature d'un message le temoin, le demonstrates et le 
controleur executent les etapes suivantes : 

o ettape 1. emgagemeinitt' R dun temose : 
A chaque appel, le temoin tire au hasard et en prive au moins une collection 
de nombres entiers {r l9 r 29 n- 3 , «„o},telle que, pour chaque facteur premier p, 
chaque collection comporte un alea r.positif et plus petit que p . 
Pour chaque facteur premier p. , le temoin efeve chaque al6a r, k la 
puissance v ieme modulo p. 

R. = r. v mrnod p. 

(de sorte que le nombre d $ operations arithmetiques modulo p t a effectuer 
pour calculer chacun des R t pour chacun des p t est reduit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo n) 
Puis, le temoin etablit chaque engagement R modulo n selon la m6thode 
des restes chinois. 

II y a autant d'engagements R que de collections d'aleas {r l5 ir 29 r 39 « 0 ,}. 

o ettape 2, delES d desttiinie ami ttemoto t 
Le signataire applique une fonction de hachage f ayant comme arguments le 
message mm et chaque engagement R pour obtenir au moins une collection 
de defis d {dA, dB, „ 0 .} tels que 0 < dA < v - 1. Le nombre des collections 
de defis d est egal au nombre d'engagements R, chaque collection {dA, dB, 
...} comprend un nombre de defis 6gal au nombre de paires de cles. 
Le signataire transmet les collections de defis d au temoin. 

o ettape 3. repoirase du ttemolini sm deffi d : 
Le temoin calcule des reponses B> a partir desdites. collections de defis d 
{dA, dB 9 ..„} revues du controleur. A cet effet, 
il effectue des operations du type : 

D. = r. . QAj ^ . QB, • mod p, 
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(de sorte que le nombre d'operations arithmetiques modulo p t a effectuer 
pour calculer chacun des D t pour chacun des p t est reduit par rapport a ce 
quAil serait si les operations etaient^effeBtuees modulo n)* 
puis^il applique la ^methbde des restes-chinois. 

II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

Le temoin transmet les reponses D au signataire et/ou au contrdleur. 

• etape 4. donnees destinees au contrdleur : 

Le signataire transmet un message signe au controleur comprenant : 

- le message m, 

- les collections de d6fis d ou les engagements R, 

- chaque-rep©nse*D ^ 

• etape^S Jveidfi^^^^ 
Cas ourie^contnoj^u^^ 

DansMe^asioMefeontrdlfur -4re9oit«lm6olliSld0n«rdes«d6fiSM et des reponses 
D, ledit contr61etirc«Galcule 1 partir de*fchaque reponse DTin engagement R' 
en f ef f £&M&iiifr^ 

R' = GA dA . GB ".r..D'^nod n 

ou du type : 

R*. GA *\ GB dB . D v mod n 

Le contrSleur applique la fonction de hachage f ayant comme arguments le 
message m et chaque engagement reconstruit R' pour reconstruire chaque 
d6fi d\ 

Le contr61eur verifie que chaque defi d* reconstruit est identique au defi d 
figurant dans~le-message signe. 

Cas ou le controleur regoit la collection des engagements R * 

Dans4e eastoMe eontrdleur^regoiWa colleeti^n^defeengagem^nts R et des 
reponses D, ledit controleur applique la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour reconstruire chaque 




d6fi d\ 

Le contrSleur reconstruit alors la collection des engagements R' en 
effectuant des operation du type 

W = GA d ' A . GIB dB . D v modi m 

ou du type : 

W . GA d ' A . GB d ' B 0 ...s W modi n 
Le contr61eur v6rifie que chaque engagement W reconstruit est identique k 
V engagement R figurant dans le message sign6. 

Paare die cles seflomi la presenile Smiveinitnoini comlTeraimtt misne secunrfte 
equiiivaleinitte a Ha comiinianssainice die Da cle povee Q 
La paire de cl6s GA, QA, ... n'a plus de raison d'Stre syst&natiquement 
deduite de l'identit£ du temoin, comme dans le cas du procede GQ. 
Selon une variante de realisation, un grand nombre de t6moins utilisent le 
meme ensemble de cl£s publiques tres courtes GA, GB, GC, GD ... par 
exemple, 4, 9, 25 et 49. 

Dans le cas de la variante de realisation ci-aprfes expos6e les composantes 
QA,, QA 2 , ... (QA,, Co.), et QB,, QE 29 ... (QB,, ...), ... des cles privees QA, 
QB, ... sont des nombres tires au hasard a raisori d'une composante QAj , 
QB. , coo pour chacun desdits facteurs premiers p r Lesdites cles privies QA, 
QB, peuvent etre calculees a partir desdites composantes QA„ QA 2 , ... 
(QA i5 ...), et QB„ QB 2 , ... (QB., ...), ... par la methode des restes chinois. 
Les cl6s publiques GA, GB, ... sont calculees en effectuant des operations 
du type : 

GA. = QA'modp, 
puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA v mod im 

ou bien tel que 

GA.QA* modi n = l 
Ainsi, le nombre d' operations arithm6tiques modulo p, a effectuer pour 
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calculer chacun des GA, pour chacun des p, est reduit par rapport k ce qu'il 
serait si les operations etaient effectu^es modulo n. 

De preference Fexposant public de verification v est un nombre premier. 
Dans ce cas la paire de cl6s GA, QA conffere une securite equivalente k la 
connaissance de la cie privge QA. 

Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 
De preference, Texposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1. 
De preference, egalement Texposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securite plus grand que 1. 

Dans ce cas, la cie publique GA est un carre gA* inferieur k n choisi de 
sorte que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans Fanneau des entiers modulo n. 
Les composantes QA„ QA 2 , (QA. , ...) de la cie privee QA sont alors 
telles que : 

GA= QA^modft 

ou bien telles que : 

GA .QA. rexp(k) mod Pi = 1 
On les obtient en extrayant la k ieme racine carree de GA dans le corps de 
Galois CGCp,), 

Ainsi, le nombre d* operations arithmetiques modulo p, k effectuer pour 
calculer chacun des QA t pour chacun des p f est reduit par rapport k ce qu'il 
serait si les operations etaient effectu6es modulo n. 

On demontre que la paire de cl6s GA, QA conffcre une securite equivalente 
k la connaissance de la factorisation de n. 




De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG(p,), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p, est congru k 3 modulo 4, on 
applique notamment un algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA. = GA X mod p. 

- dans le cas ou le facteur premier p. est congru k 1 modulo 4, on 
emploie les suites de Lucas. 

System© 

La presente invention concerne egalement un systeme permettant de mettre 
en oeuvre le procedS ci-dessus expose. 

Le systeme selon T invention permet de diminuer la charge de travail 
pendant une session destin^e k prouver k un serveur contrdleur, 

- T authenticity d'une entity et/ou 

- Torigine et Tintegrite d'un message mm. 
Le syst&me met en oeuvre trois entites : 

I. Une premiere entite, appelee dispositif temoin, contenue notammesit 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire k microprocesseur. 

Le dispositif t6moin dispose d'une premifere zone memoire contenant des 
facteurs premiers p,, p 2 , ... (p i , ...) (i etant superieur ou egal k 2) d'un 
module public sn tel que m = p,.p 2 . p 3 ."... . 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA t , QA 2 , ... (QA i9 ,..), et QB,, QB 2 , ... (QB. 9 o«), 
representant des cl6s privees QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA 1? GA 2 , ... (GA., .♦.) et GB„ GB 2 , ... (GB., o«) 

* des exposants publics de verification vx, vy, 

lesdites cles privees et cl6s publiques etant liees par des relations du type : 
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GA.QA" mod n = 1 ou GA s QA vx mod n 

Le dispositif t6moin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R ^ r," mod Pi 
ou r, est un a!6a tel que 0 < r, < p, , 

II. Le syst&me met en oeuvre une deuxi&me entite, appelee dispositif pilote 
dudit dispositif temoin. Elle peut etre contenue notamment dans ledit objet 
nomade. Le dispositif pilote est plus precisement appele : 

* dispositif d6monstrateur dans le cas de la preuve de 1' authenticity 
d'une entity ou de F authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de l'origine et de 
F integrity d' un message, 

III. Le systfcme met en ceuvre une troisfeme entity, appeiye dispositif 
contrdleur, se prysentant notamment sous la forme d'un terminal et/ou d'un 
serveur distant connecte a un reseau de communication infoimatique. Le 
dispositif contrdleur comporte des moyens de connexion pour le connecter 
electriquementr electromagnytiquement, optiquement ou*v de- maniere 
acoustique au dispositif temoin. Le dispositif contrdleur verifie 
l'authentification ou l'origine et ^integrity d'un message. 

Le dispositif temoin re?oit du dispositif pilote ou du dispositif contrdleur un 
ou plusieurs defis d tel que 0 < d < vx - 1. II comporte des deuxiemes 
moyens de calcul pour calculer a partir des dyfis d une ou plusieurs 
reponses D en effectuant des operations du type : 

Dj = r, • QA, d mod p, 
ou r. est un alea tel que 0 < r, < Pl 

(de sorte que le nombre d 9 operations arithmetiques modulo p f a effectuer 
par lesdits deuxiemes^moyens de calcul pour calculer chacune des reponses 
D. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient ejfectuees modulo n) 




Le dispositif controleur, re?oit une ou plusieurs r^ponses B. II comporte des 
troisiemes moyens de calcul pour calculer a partir desdites reponses ID des 
engagements R 9 en effectuant des operations du type : 

W = GA d . W* modnn 

ou du type : 

MV^A'sB™ modn 
Le dispositif contrdleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% ED} sont coh6rents. 

Cas <o>w B'expossunrt die veoOcattidwrn v est namqitiie 
De meme que prec6demment, le systeme selon 1* invention met en ceuvre 
trois entit£s. 

I. Une premiere entit6, appelee dispositif temoin, contenue notamment dans 
un objet nomade se pr6sentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. 

Le dispositif temoin dispose d'une premiere zone m^moire contenant des 
facteurs premiers p,, p 2 , ... (p. 9 .,.) (i etant superieur ou 6gal k 2) d'un 
module public mi tel que m = p,.p 2 . p 3 . ... , 

Le dispositif temoin dispose aussi d'une deuxieme zone memoire contenant 

* des composantes QA If QA 2 , ... (QA, , ...), et QB l9 QB 2 , ... (QB t , ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA 9 GB, ... ayant respectivement pour 
composantes GA l9 GA 29 ... (GA i9 ...) et GB,, GB 29 ... (GB i? „.)» 

* un exposant public de verification v. 

Les paires de cl6s privees et publiques sont liees par des relations du type : 

GA.QA V modi in = 1 oro GA = QA V mod mi 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements EL A cet effet, 
o il effectue des operations du type : 
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R, = r/ mod p. 

ou r, est un entier, tire au hasard, associ6 au nombre premier p p tel que 0 < 
r, < p, , appartenant a au moins une collection d'ateas {r„ r 2 , r 3 , ...}, 
• puis, il applique la m6thode des restes chinois; 

II y a autant d' engagements R que de collections d'aleas {r,, r 2 , r 3 , ...}, 
Le nombre d' operations arithm&iques modulo p, k effectuer par lesdits 
premiers moyens de calcul pour calculer chacun des R, pour chacun des p, 
est reduit par rapport h ce qu'il serait si les operations 6taient effectuees 
modulo n. 

II. La deuxifcme entity, appelee dispositif pilote dudit dispositif t6moin, 
peut 6tre contenue notamment dans ledit objet nomade. Le dispositif pilote 
est appel6 : 

* dispositif d&nonstrateur dans le cas de la preuve de 1'authenticite 
d'une entity ou de T authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
Fint6grite d'un message, 

III. La troisifeme entite, appelee dispositif contrSleur, se pr6sente 
notamment sous la forme d'un terminal et/ou d'uh serveur distant connect^ 
a un r6seau de communication informatique. Le dispositif controleur 
comporte des moyens de connexion pour le connecter electriquernent, 
electromagnetiquement, optiquement ou de manfere acoustique audit 
dispositif temoin. Le dispositif contrSleur v&ifie l'authentification ou 
l'origine et 1'integrite d'un message, 

Plus particuliferement, dans le cas de cette variante de realisation, le 
dispositif temoin regoit du dispositif pilote ou du dispositif contrdleur, des 
collections de d6fis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des 
collections de d6fis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de d6fls 6gal au nombre de 
paires de cles. 



20 



Le dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer a partir de chacune desdites collections de defis {dA 9 dlB, O o*} des 
reponses D. A cet effet, 
o il effectue des operations du type : 

B. = r r <Q>A, . QB, ** . ... mod p, 
o puis, il applique la methode des restes chinois. 
II y a autant de reponses D que d' engagements R et de defis dL 
II convient de souligner, ici aussi, que le nombre d' operations arithm6tiques 
modulo p. k effectuer par lesdits deuxiemes moyens de calcul pour calculer 
chacun des D. pour chacun des p. est reduit par rapport a ce qu'il serait si 
les operations etaient effectu6es modulo n. 

Le dispositif controleur re$oit une ou plusieurs reponses B. II comporte des 
troisiemes moyens de calcul pour calculer k partir desdites reponses B un 
engagement R 9 en effectuant des operations du type : 

R' = GA d \GB dB ....B v mod hi 

ou du type : 

W . GA " . GB dB . ...s B v mod mi 
Le dispositif controleur comporte des quatrifemes moyens de calcul pour 
verifier que les triplets {R% d, B} sont coherents. 

On va maintenant exposer les variantes de realisation du systfcme selon 
1' invention concernant : 

- le cas d'une authentication d'entitd, 

- le cas d'une authentification de message, 

- le cas d'une signature numerique de message. 

Cas d'einie aptlheetifficatioini d'emtite 
Cas oe Pexposant de verification v est onuiqiuieo 
Dans le cas de cette variante de realisation particuli&re, la session est 
destinee k prouver a un controleur 1' authenticity d'une entite. 
Comme dans le cas general, le session met en oeuvre trois entites du 
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sysfeme selon 1' invention. 

I. Une premiere, entite, appelee dispositif temoinv confenue^otamment dans 
un ^obje^nomade^se^presentant ^par exemple sous? la^fon-ne d'une carte 
ban©aiiie*a rni©ropr©eesseur. 

Le dispositif temoin- dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p. , ...) (i etant sup6rieur ou 6gal k 2) d'un 

module public n tel que n = p r p 2 . p 3 Le dispositif temoin dispose aussi 

d'une deuxi&me zone memoire contenant : 

* des composantes QA„ QA 2 , ... (QA ( , ...), et QB„ QB 2 , ... (QB,, ...), 
reprdsentant des cl6s privees QA, QB, 

* des cles publiques GA, GB, ... ayant respectivement pour 
comp$^tes*G^GA^ r (G*A^...).e^^^ 

* un«exf>&san^^ 

Les pakestde^el^^ du type : 

GA QA&mod n s muifflmm*QW*modm<m>. 

II. La xdeux4eme*#ntit^^ dudit dispositif 
temoin^pe^tee^ 

III. Une troisieme entite, appelee dispositif contr61eur, se presente sous la 
forme d'un terminal et/ou d'un serveur distant connecte a un r6seau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique audit dispositif temoin, 

Pour prouver 1' authenticity d'une entite, ledit dispositif temoin, ledit 
dispositif^demonstrateur et ledit dispositif contffM&^ 
suivantes : 

• etape 1. engagement R du dispositifetemoin*:* 

Le dispositif -temoin^ comport^ .des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...}, telle que, pour chaque facteur premier p ( , chaque 
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collection comporte un alea i^positif et plus petit que p, . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour 61ever 
chaque alea r. a la puissance v ieme modulo p t , pour chaque facteur 
premier p, , 

R. = Tj V mod p 

On notera que le nombre d' operations arithmetiques modulo p k effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des M pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo m. 

Puis, lesdits deuxiemes moyens de calcul du dispositif t6moin etablissent 
chaque engagement R modulo un selon la methode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r„ r 2 , r 3? 

o ettape 2. deffl d destine au disposMf teinniota : 
Le dispositif demonstrateur comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur. 
Le dispositif contrdleur comporte des troisiemes moyens de calcul pour 
calculer, apr&s avoir re?u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, «,«} tels que 0 < dA < v « 1. Le nombre 
des collections de defis d est egal au nombre d'engagements R. Chaque 
collection {dA, dB, «»} comprend un nombre de defis egal au nombre de 
paires de cles. 

o ettape 3. reponse du dispositif temoiim am deffl d s 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses B, a partir desdites collections de defis d {dA, dB, .,.} 
re?ues du dispositif contr61eur. A cet effet, 
il effectue des operations du type : 

D, s r f . QA, " • QB, " . ... mod p § 
puis, il applique la methode des restes chinois. 

Le nombre d' operations arithmetiques modulo p, a effectuer par les 
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quatriemes moyens de calcul pour calculer chacun des D t pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
moduk>-n. 

II y a autanfcde reponses*D calculees parole temoincqueId , engagements R et 
de d6fis d.^ 

• etape 4. donnees destinees au dispositif controleur : 

Le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif contrdleur chaque r6ponse D. 

• etape 5. verification par le dispositif controleur : 

Le dispositif controleur comporte des cinqui&mes moyens de calcul pour 
calculer a partir de chaque r6ponse D un engagement R 9 en effectuant des 
opdrationsmdu^ype^ 

R*P GA^£ ?GW% D&m<%d*n 

ou duity p^ 

RWGA 4 A ?GBi£?t..= ©£iftod*n ^ 
Le dispositif ^con^ calcul pour 

compatfer^et*v6ri$it^^ t ou t 

ou partie de chaque engagement R transmis a r etape 2 par le dispositif 
demonstrateur. 

Cas d'une authentification de message 
Cas ou l'exposant de verification v est unique. 

Dans le cas de cette variante de realisation particulifcre, la session est 
destinee a prouver a un contrSleur l'authenticite d'un message m. 
Comme dans le cas general, la session met -en eeuvre trois entites du 
sy sterner 

I. Une premiere^entit^ appetee dispQsitd>fetgm©iin^eontenue notamment dans 
un objet«nomade]tose4*pr^sente»spaMexemple^ousw^:a forme- d*une carte 
bancaire & microprocesseur. 

Le dispositif t6moin^dispose d'une premiere zone mdmoire contenant des 




facteurs premiers p„ p 2? ... (p. , ...) (i 6tant superieur ou 6gal k 2) d'un 
module public n tel que n = p^p^ p 3 . ... ,.Le dispositif temoin dispose aussi 
d'une deuxifeme zone memoire contenant 

* des composantes QA„ QA 2 » ... (QA i9 ...), et QM l9 QB 2 , ... (QB, , ...), 
representant des c!6s privees QA, QB, ... 

* des cles publiques GA 9 GB, ... ay ant respectivement pour 
composantes GA l9 GA 2 , ... (GA. 9 ...) et GB„ GB 2 , ... (GB i9 c.) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 

GA.QA V mod un = 1 ou GA = QA'inniodl m 
IE. Une deuxieme entite, appel6e dispositif demonstrateur dudit dispositif 
temoin, peut etre contenue notamment dans ledit objet nomade. 
III. Une troisieme entite, appelee dispositif controleur, se pr^sente sous la 
forme d'un terminal et/ou d'un serveur distant connect^ a un reseau de 
communication informatique. Le dispositif contrdleur comporte des moyens 
de connexion pour le connecter electriquement, electromagn6tiquement, 
optiquement ou de maniere acoustique audit dispositif temoin. 
Pour prouver l'authenticite d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif contrdleur ex6cutent les etapes 
suivantes : 

o etape 1. emigagemeinit E du dispositif temonin : 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r l5 r 29 r 3 , ...}, telle que pour chaque facteur premier p |f chaque 
collection comporte un alea r. positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de" calcul pour elever 
chaque alea r t a la puissance v ieme modulo p. , pour chaque facteur 
premier p, , 

R s r. v mod p. 
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Le nombre d' operations arithm6tiques modulo p, k effectuer par les 
deuxifcmes 'moyens de calcul pour calculer chacun des 'R, pour chacun des 
p, est reduit par rapport A ce qu'il serait si les operations *etaient«effectuees 
modulo n. 

Puis, lesdits deuxifcmes moyens de calcul dudit dispositif ^moimetablissent 
chaque engagement R modulo n selon la m6thode des restes chinois. 
II y a autant d'engagements R que de collections d'aleas {r,, r 2 , r 3 , ...}. 

• etape 2. defi d destine au dispositif temoin : 

Le dispositif demonstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R. 

Le dispositif demonstrates comporte -des-moyensride * transmission pour 
transmettre le jeton -X au dispositif controleur. 

Le dispositif^contrdleur^eomporte jdes troisfemes moyens, 4e calcul pour 
calculer, apres avoir re^u^le jeton T, au moins-une collection de defis d 
{dA; dB, ...} tels que 0 < dA < v ->l.^Le nombre des collections de defis d 
est egal au^nombrerd'engagements^R. 3 «Chaque collection {dA, dB, ...} 
comprend un nombre de defis egal au nombre de paires de cles. 

• etape 3, reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, ...} 
re?ues du dispositif contrdleur. A cet effet, 
il effectue des operations du type : 

D. s r. . QA, dA . QBj ** . ... mod p, 
puis, il appliquant la m6thode des restes chinois. 

Le nombre d'operations arithmetiques modulo p, a ^effectuer par les 
quatri&mes moyens de calcul pour calculer chacun des-JD, pour chacun des 
p, est reduit par rapport a ce qu'il serait si les operations 6taient effectuees 
modulo n. 




II y a autant de reponses D calculees par le temoin que d' engagements R et 
de defis d. 

o etape 4. domnmees desMmiees am disposifiif coMiroleMiir s 
Le demonstrates comporte des moyens de transmission pour transmettre 
au dispositif contrSleur chaque reponse IP. 

o etape So veoflicattioini par le disposMff connttrSleiuir i 
Le dispositif contrdleur comporte des cinquiemes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement R ? en effectuant des 
op6rations du type : 

W= GA GM oooB v mod mi 

ou du type : 

W o GA o GB d \ D v mod mi 
Le dispositif contrSleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fbnction de hachage IF ayant comme arguments le 
message mb et chaque engagement R% le jeton T\ 

Le dispositif contrdleur comporte des septiemes moyens de calcul pour 
comparer et verifier que le jeton T 9 est identique au jeton T transmis k 
Tetape 2 par le dispositif d6monstrateur. 

Cas d'raae sigimataire srameiriflpie de message 
Cas oin Fexposamt de verification v est nimuiqiuie. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver a un contrdleur la signature numerique d'un message mm. 
Comme dans le cas general, la session met en oeuvre trois entit6s du 
systfcme : 

I. Une premiere entite, appelge dispositif temoin, contenues notamment 
dans un objet nomade se presente par exemple sous la forme d'une carte 
bancaire k microprocesseur. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p 25 ... (p. , 0 ..) (i £tant superieur ou 6gal k 2) d'un 
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module public n tel que n = p,.p 2 . p 3 

Le dispositif temoin comporte egalement une deuxieme zone-memoire 
contenant : 

* des composantes QA^ QA 2 , ... (QA^...), et QB t , QB 2 , ... (QB,, ...), 
representant des cles,priv^es43A, QB* ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB,, ...) 

* un exposant publique de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA" mod n = 1 ou GA s QA v mod n 

II. Une deuxifeme entite, pouvant etre contenue notamment dans ledit objet 
nomade, est appelee dispositif de signature. 

III. Une troisieme entity, appelee dispositif contrdleur se presente sous la 
forme d'un terminal et/ou d'muserveur distant connecte k un reseau de 
communication informatique. Le dispositif controleur comporte des moyens 
de connexion pour le connecter electriquement, 61ectromagnetiquement, 
optiquement ou de maniere acoustique au dispositif temoin. 

Pour prouver la signature d'un message, ledit dispositif temoin, ledit 
dispositif demonstrates et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du temoin : 
Le dispositif t6moin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...}, telle que pour chaque facteur premier p s , chaque 
collection comporte un alea r, positif et plus petit que p t . 
Le dispositif temoin comporte des deuxifemes moyens de calcul pour 61ever 
chaque al6a r, a la puissance v feme modulo p, , pour chaque facteur 
premier p, , 

R - r/ mod P| 




Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
deuxi&mes moyens de calcul pour calculer chacun des R, pour chacun des 
p 1 est r6duit par rapport k ce qu'il serait si les operations 6taient effectu6es 
modulo n. 

Puis, lesdits deuxiemes moyens de calcul du dispositif t£moin 6tablissent 
chaque engagement R modulo n selon la m6thode des restes chinois. 
II y a autant d'engagements R que de collections d'al6as r 29 ir 39 O o,}, 

o etepe 2o defll d desttnime stun diisposMf ftemni(Dfiim i 
Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R, au moins une collection de d6fis & 
{dlA 9 &B 9 oo„} tels que 0 < dlA < v - 1. Le nombre des collections de d£fis d 
est egal au nombre d'engagements R. Chaque collection {&A 9 dB ? .00} 
comprend un nombre de defis 6gal au nombre de paires de cl6s. 
Le dispositif de signature transmet les collections de defis di au dispositif 
temoin, 

o ettape 3o reponse &w dlsposnttilF lenMoSin sm deffB d t 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de defis dl {dA 9 dIB, 000} 
re9ues du dispositif contrdleur. A cet effet, 
il effectue des operations du type : 

B, = r, . QA, ^ - QBj " . ... mod p. 
puis, il applique la m&hode des restes chinois. 

Le nombre d' operations arithmetiques modulo p, k effectuer par les 
quatriemes moyens de calcul pour calculer chacun des B> 1 pour chacun des 
Pj est r£duit par rapport k ce qu'il serait si les operations etaient effectu6es 
modulo un. 

II y a autant de reponses D calcul6es par le t6moin que d* engagements R et 
de d^fis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les r^ponses D au dispositif de signature et/ou au dispositif contrdleur. 

• etape 4. donnees destinees-au dispositif>contr61eur-v: 

Le dispositif *de signature transmet au dispositif contr61eur* un message 
signe comprenant*: 

- le message m, 

- les collections de d6fis d ou les engagements R, 

- chaque r6ponse D 

• etape 5. verification par le dispositif controleur : 
Cas ou le dispositif controleur regoit la collection des defis d, 

Dans le cas oCi le dispositif contrSleur re§oit les collections des d6fis d et 
des r6ponses D, ledit dispositif contrdleur comporte des einqui&mes moyens 
de calcul pour calculer- h partir de chaque reponse^D un engagement R* en 
effectuant des operations du type : 

R' s G A dA • GB dB D* mod n 

ou du type : 

R'z GA dA . GB ^....= D v mod n 

Le dispositif contrSleur comporte des sixiemes moyens de calcul pour 
calculer chaque ddfi d', en appliquant la fonction de hachage f ay ant 
comme arguments le message m et chaque engagement reconstruit R\ 
Le dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque defi d' est identique au d€fi d figurant dans 
le message signe. 

Cas ou le dispositif controleur regoit la collection des engagements R 

Dans le cas oil le dispositif controleur refoit la collection des engagements 
R et des r6ponses D, ledit dispositif controleur comporte des cinqui&mes 
moyens de calcul pour calculer chaque defi d\ en appliquant la fonction de 
hachage f ayant comme arguments le message m et chaque engagement R. 
Le dispositif controleur comporte des sixiemes moyens de calcul pour 



calculer alors la collection des engagements R' en effectuant des operation 
du type 

R ? =GA d ' A oGB d ' I \.o.lD> T modln 

ou du type : 

R 9 . G A d ' A . GB d ' B o ... = D v modi n 
Le dispositif controleur comporte des septi&mes moyens de calcul pour 
comparer et verifier que chaque engagement R 9 reconstruit est identique k 
1'engagement R figurant dans-le message sign6. 

PaSre die dies coefferamlt ume secunrite equii valeette a la comumaSssaimce -die la 

<c!<§ povee Q 

Dans le cas de la variante de realisation ci-apres expos6e les composantes 
QA,, QA 29 ... (QA i9 ...), et QB l9 QB 2 , ... (QB ( , ...), ... des cl(§s privies QA, 
QB, ... sont des nombres tires au hasard k raison d'une composante QA. , 
QB, , coo pour chacun desdits facteurs premiers p., lesdites cl6s priv6es QA, 
QB, pouvant Stre calculees a partir desdites composantes QA t9 QA 29 ... 
(QA i9 ...), et QB„ QB 2? ... (QB,, ...), ... par la methode des restes chinois. 
Dans le cas de cette variante, le dispositif temoin comporte des huitiemes 
moyens de calcul pour calculer lesdites cles publiques GA 9 GB, 
o en effectuant des operations du type : 

GA, = QA/ modi p, 
o puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA V modi mi 

ou bien tel que 

GA.QA V mod n = l 
Le nombre d'operations arithmetiques modulo p, a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA, pour chacun des p, est reduit par rapport par rapport k ce qu'il 
serait si les operations etaient effectuees modulo mi. 

De preference dans ce cas, l'exposant public de verification v est un 
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nombre premier. II en resulte que la paire de cles GA, QA conffere une 
secuntS equiwaleMe k la eonnaissance deia cle priv6e QA. 
Paire-deiclesttconfefeant une securite equivalente-a la^connaissance de la 

factorisation de n 
De preference, Texposant public de verification v est du type-, 

v = a k 

ou k est un parametre de sdcurite plus grand que 1 . 
De preference egalement, Texposant public de verification v est du type 

v = 2 k 

oil k est un parametre de securite plus grand que 1, 

Dans ce cas, la cle publique GA est un carre gA 2 inferieur a n choisi de 
sorte queJes^deux^equationSf, 

x\p^g4^mod*n^et* x 2 p - gAmodm^ 
n'ont*p%&<£e»§QM^ a[nnea]u^destentiejpsf modulo.n. 

Le ^udisp^sitif^ calcul pour 

cal<^ler#Jesftdites^ (Q4f^v) de Ja^eld privee QA 

en-appjiquant*de^ 

GA= QA ; Uxpik) mod p. 

ou bien telles que : 

GA .QA. 2cxp(k) mod Pi = 1 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG( Pi ). 

Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par les 
neuviemes«m©yens*d'e^^ pour^ealculeF chacun des 

QAj pour chacun des* Pj est reduit par rapport k ce quWl serait si les 
operations^^taient^effgfetuees^modulo n. 

On demontre que la paire de cles GA, QA confere une securite equivalente 
k la connaissance de la factorisation de n. 

De preference, pour extraire la k ieme racine carree de GA dans le corps de 
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Galois CG(p.), on utilise les methodes suivantes : 

- dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ;y = x k mod (p-1) ; z = y ; QA i = GA Z mod p. 

- dans le cas ou le facteur premier p, est congru k 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

Ob jet mommadleo Carte foaimcaiiire 
La presente invention concerne egalement un objet nomade permettant de 
mettre en ceuvre le procede ci-dessus expose. 

L'objet nomade selon Tinvention se presente, par exemple, sous la forme 
d'une carte bancaire a microprocesseur. II permet de diminuer la charge de 
travail pendant une session destinee a prouver a un serveur contrdleur, 

- F authenticity d'une entite et/ou 

- Torigine et 1'integrite d'un message mm, 
L'objet nomade fait intervenir trois entites : 

I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone m^moire 
contenant des facteurs premiers p |9 p 2 , «... (p j9 .o.) (i etant sup&ieur ou egal k 

2) d'un module public n tel que n = p r p 2 . p 3 Le dispositif temoin 

dispose aussi d'une deuxieme zone memoire contenant : 

* des composantes QA l9 QA 2 , ... (QA„ ...), et QB„ <Q>B 2 , ... (QB i9 ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
•composantes GA § , GA 2 , ... (GA i9 o„.) et GB,, GB 2 , ... (GB i9 ...) 

* des exposants publics de verification vx, vy 9 ... 

Les cl6s privees et les cles publiques sont li6es par des relations du type : 
GA.QA" modi in s 1 on GA = QA™]rnodI m 
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Le dispositif t6moin comporte aussi des premiers moyens de calcul pour 
calctiler des engagements R en effectuant des operations du type : 

Rj = r, v * mockp, ^ 
ou^r, est un alea tel que 0 < r. < p,^ 

Ainsi, le nombre d'operations arithm£tiques^modulo-p s k effeetuer par 
lesdits premiers moyens de calcul pour calculer chacun des R. pour chacun 
des p, est reduit par rapport k ce qu'il serait si les operations 6taient 
effectuees modulo n. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif t6moin. 
Elle peut §tre egalement contenue dans ledit objet nomade. Le dispositif 
pilote est appele : 

, * dispositif demonstrateur^dans^le *easmde*la *preuve~de4'authenticite 
d'une entiteiowdeir authenticit4d'un messagg*i% 

* dispositi&de^sign^^ et de 

rintegrite d'un message, 

UK Une troisieme entite^ appgle^di^(pitdfir confcrdleur, se presente 
notamment sous^la forme d'un tei^inaMt/ou^d'un se^veur distant connecte 
a un reseau de communication informatique. Le dispositif contrdleur v&ifie 
1'authentification ou Torigine et 1'integrite d'un message, 
L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
contrdleur. 

Le dispositif temoin re$oit du dispositif pilote ou du dispositif controleur un 
ou plusieurs defis d tel que 0<d<vx-let comporte des deuxi&mes 
moyens de calcul pour calculer* a partir dudit defi d une ou plusieurs 
reponses D en effectxiant~des*operations du type»f 

D^r^QA/modp, 
ou r. est un alea tel que 0 < r. < p, 
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Ainsi, le nombre d' operations arithmetiques modulo p, a effectuer par 
lesdits deuxi&mes moyens de calcul pour calculer chacune des reponses B. 
pour chacun des p. est reduit par rapport k ce qu'il serait si les operations 
etaient effectuees modulo n. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou les dites reponses D, 

Cas oin Fexposamit die veriffncatioini v est unique 
De mfime que precedemment, Tobjet nomade fait intervenir trois entit6s : 
L Une premiere entit6, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin dispose d'une premiere zone m^moire 
contenant des facteurs premiers p l9 p 2 , ... (p, 9 ...) (I etamitt smpeirieiiiiir ou egaiB 
a 2) d'un module public irn tel que mi = p r p 2 o p 3 o o.. . Le dispositif t6moin 
dispose aussi d'une deuxieme zone m&noire contenant 

* des composantes QA„ QA 2? ... (QA.,..), et QB t , QB 29 ... (QB,, ~o), 
representant des cles privees QA 9 QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA l9 GA 2 , ... (GA., ...) et GB,, GB 2 , ... (GB j9 ...) 

* un exposant public de verification v. 
Les paires de cles privees et publiques sont li6es par des relations du type : 

GA.QA V mod n s 1 ou GA = QA v mod n 
Le dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 
o en effectuant des operations du type : 

R = r. v mod p, 

ou r. est un entier, tire au hasard, associe au nombre premier p., tel que 0 < 

r, < p. , appartenant k au moins une collection d'aleas {r,, r 2 , ir 3 , ...}, 

o puis en appliquant la methode des restes chinois, 

II y a autant d'engagements R que de collections d'aleas {r l9 r 2 , r 3 , .o,}, 

Ainsi, le nombre d'operations arithmetiques modulo p. a effectuer par 
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lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p, .est reduit par -rapport \ ce qu'il serait si les operations 6taient 
effeetu^es modulo n. 

II. Une deuxteme entite est appel6e dispositif pilote dudifedisjpositif t&noin. 
Elle pent etre egalement contenujp dans ledit pbjet nomade: -Le dispositif 
pilote est appele : 

* dispositif demonstrates dans le cas de la preuve de 1* authenticity 
d'une entite ou de Tauthenticite d'un message, 

* dispositif de signature dans les cas de la preuve de l'origine et de 
T integrity d'un message. 

III. Une troisieme entite, appelee dispositif controleur, se pr6sente 
notamment sous la forme d'un terminal et/ou d*un serveur distant connect^ 
a un reseau de communication informatique. Le dispositif contrSleur v6rifie 
Fauthentification ou l'origine et rintegrite d'un message. 

L'objet nomade comporte des* moyens de connexion pour connecter 
electriquernent, £lectromagn£tiquement, optiquement ou de manifere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
contr61eur. 

Le dispositif temoin regoit du dispositif pilote ou du dispositif contrdleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1. Le nombre 
des collections de defis d etant egal au nombre d'engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis 6gal au nombre de 
paires de cles. 

Le dispositif temoin comporte des deuxiemes moyens^de calcul pour 
calculer k partir de chacune desdites collections de d6fis {dA, dB, ...} des 
reponses D. A cet effet, 

• il effectue des operations du type : 

D ( s r, . QA ( ** . QB, ** . ... mod p, 

• puis, il appliquant lamethode des restes chinois. 
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II y a autant de reponses D que d'engagements R et de defis dl. 
Ainsi, le nombre d' operations arithm^tiques modulo p. a effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo un. 

L'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur la ou lesdites reponses D. 

On va maintenant exposer des variantes de realisation de Tobjet nomade 
selon T invention concernant : 

- le cas d'une authentication d'entit6, 

- le cas d'une authentication de message, 

- le cas d'une signature numerique de message. 

Cas d'nine autHneimtilHcatlioim d'einittite 
Cas om I'exposaimt die verMcattncoini v est oiBiqmie. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee h prouver k un dispositif contrSleur 1' authenticity d'une entity. 
Comme dans le cas general, la session fait intervenir trois entites. 
I. Une premiere entite, appelee dispositif temoin, est contenue dans ledit 
objet nomade. Le dispositif temoin comporte une premiere zone memoire 
contenant des facteurs premiers p 1? p 29 .00 (p i9 0 ..) (5 etael snaperieiuir ouh egal 
a 2) d'un module public mi tel que b = p l0 p 2 o p 3 . . Le dispositif temoin 
comporte aussi une deuxieme zone memoire contenant : 

* des composantes QA l9 QA 29 ... (QA. 9 ...), et QB l9 QB 29 ... (QB,, ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ay ant respectivement pour 
composantes GA,, GA 29 ... (GA i9 ...) et GB„ GB 29 ... (GB? 9 ..'.) 

* un exposant public de verification v. 

Les paires de cles privees et publiques sont liees par des relations du type : 
GA.QA V mod n s 1 ou GA = QA V modi m 
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II. Une deuxieme entite est appelee dispositif demonstrateur du dispositif 
temoin; Elle peut etre egalement contenue dans ledit objet nomade. 

III. Une troisieme entite, appelee dispositif contrdleurr se-pr£sente 
notamment sous la forme d'un terminal et/ou d'un serveur*distant connecte 
a un reseau de communication informatique. 

L* objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de manifcre 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif contr61eur. 

Pour prouver l'authenticite d'une entit6, ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et ea prive, & chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...}, telle que, pour chaque facteur premier p if chaque 
collection comporte un alea r,positif et plus petit que p. . 
Le dispositif temoin comporte des deuxiemes moyens de calcul pour Clever 
chaque alea r. a la puissance v ieme modulo p. , pour chaque facteur 
premier p, , 

R = r. v mod p, 

Ainsi, le nombre d' operations arithmetiques modulo p. a effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R. pour chacun des p. 
est reduit par rapport a ce qu'il serait si les operations etaient effectuees 
modulo n) 

Puis, lesdits deuxiemes moyens de calcul du dispositif temoin 6tablissent 
chaque engagement R modulo n selon la m&hode des restes chinois. 
II y a autant d'engagements R que de collections d'al6as {r„ r 2 , r 3 , .•.}. 

• etape 2. transmission des engagements R et reception des defis d 
destines au dispositif temoin : 
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L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif contrSleur tout ou partie de chaque engagement R. L'objet 
nomade comporte des moyens de reception pour recevoir des collections de 
defis d {dA, dB, o«} produits par ledit dispositif contrdleur. 

o etape 3. reposnse dm dispositif t^moinn auix defis d : 
Le dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des nSponses B, a partir desdites collections de defis d {dA 9 dlB, 000} 
revues du dispositif controleur. A cet effet, 
il effectue des operations du type : 

B. = r, . QA, o QM i . ... mod p, 
puis, il applique la m6thode des restes chinois. 

Ainsi, le pombre d'operations arithm6tiques modulo p, a effectuer par les 
troisiemes moyens de calcul pour calculer chacun des B, pour chacun des p ( 
est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo nn. 

II y a autant de reponses B calcul6es par le t6moin que d'engagements R et 
de defis d. 

o etape 4. donn^es desttiiniees ami dispositif coMttrolennir 1 
L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur tout ou partie de chaque reponse B. 

o etape 5. verification! par Ee dispositif cootroBeer : 
Le dispositif controleur verifie la coherence des triplets {R 9 d, B} et 
Fauthenticite de Fentite controlee. 

Cas d 9 uninie aiuitlhieinitifflcatloini de message 
Cas oft I'exposamit de verification! v est uiniqiiuie. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a prouver h. un controleur Fauthenticite d'un message mm. 
Comme dans le cas general, Fobjet nomade fait intervenir trois entit£s : 
I. Une premiere entite, appelee dispositif t6moin, est contenue dans ledit 
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objet nomade,. 

Le dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p t , p 2 , ... ( Pj , ...) (i etant superieur ou egal a 2) d'un 

module* public n tel que n = p,.p 2 . p 3 Le dispositif t&noin comporte 

aussi une^deuxieme-zone -memoire contenant 

* des composantes QA„ QA 2 , ... (QA^ ...), et QB„ QB 2 , ... (QB, , ...), 
repr6sentant des cl6s piiv6es QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA^ ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v. 

Les paires de cles privies et publiques sont U6es par des relations du type : 
G A.Q A T mod n = 1 ou GA = QA V mod n 

II. Une* deuxifeme entity, est appetee d6monstrateur dudit dispositif t6moin. 
Eile peut etre egalement contenue dans ledit objet nomade. 

III. Une troisieme entitd appel6e dispositif contrdleur se pr6sente sous la 
forme d'un terminal et/ou d'un serveur distant connect^ k un r6seau de 
communication informatique. 

L' objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de mani&re 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrates audit 
dispositif controleur. 

Pour prouver F authenticity d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R dU'dispositif temoiir: 
Le dispositif t6moin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, k chaque appel, au moins une collection de nombres 
entiers {r l5 r 2 , r 3 , ...}, telle que, pour , chaqye facteur premier p p chaque 
collection comporte un al6a r.positif et plus petit que p. . 
Le dispositif temoin comporte des deuxifcmes moyens de calcul pour 61ever 



chaque al6a r, a la puissance v feme modulo p, , pour chaque facteur 
premier p, , 

Kj = Tj* modi p. 

Ainsi; le nombre d' operations arithm&iques modulo p, a effectuer par les 
deuxifcmes moyens de calcul pour calculer chacun des R pour chacun des p 
est r6duit par rapport a ce qu'il serait si les operations etaient effectu6es 
modulo En, 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo sn selon la m^thode des restes chinois. 
II y a autant d* engagements R que de collections d*al6as {ir l9 ir 2 , ir 39 .«}. 

o etope 2o recepltS©ini dies dlelBs dl dlesttnini<§§ sm oMsposMif tt<§inni<a>nims 
Le dispositif d6monstrateur comporte des premiers moyens de calcul pour 
calculer un jeton T, en appliquant une fonction de hachage IT ayant comme 
arguments le message -mm - et chaque engagement - R. L'objet nomade 
comporte des moyens de transmission pour transmettre audit dispositif 
controleur le jeton T. L'objet nomade comporte des moyens de reception 
pour recevoir des collections de defis dl {«BA, dB, 000} produits par ledit 
dispositif controleur au moyen du jeton T. 

o ettape 3„ repomise dim dlisposMiF ttemmonini ae dlefB dl t 
Le dispositif temoin comporte des troisi&mes moyens de calcul pour 
calculer des reponses 3 9 & partir desdites collections de defis dl {4A 9 dB 9 ...} 
re9ues du dispositif contrdleur. A cet effet, 
il effectuant des operations du type : 

Dj = r, o QAj . QM i ** . ... mniod p, 
puis, il applique la m6thode des restes chinois. 

Ainsi, le nombre d* operations arithmetiques modulo p, a effectuer par les 
quatriemes moyens de calcul pour calculer chacun des D, pour chacun des 
p. est reduit par rapport k ce qu'il serait si les operations etaient effectu6es 
modulo mi _ 
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II y a autant de reponses D calculdes par le t6moin que d'engagements R et 
de defis d. 

* etape*4. donnees* destinees au dispositif«Gontr61eur«: 

L'objet nomade comporte des- moyens de transmission pour transmettre 
audit disp0sitif*contr61eur ehaque rdponse D. 

* etape 5. verification par le dispositif contrdleur : 

Le dispositif contrdleur v6rifie la coherence des triplets {R, d, D) et 
Tauthenticitfi du message m. 

Cas d'une signature numerique de message 
Cas ou Pexposant de verification v est unique. 
Dans le cas de cette variante de realisation particulifere, la session est 
destin£e h proutver<& untGont^leu^ m. 
Cdmme*danstle%a^g4i^ entit^s : 

I. Un^premij^ dans ledit 
objetenQmadj^L^ memoire 
contenant*des*fa^ (p t /,: ...) (i etantesuperieur ou egal 
a 2) : d'tfh#m<HM^ = p 1 .p^p 3C ... . Le .dispositif temoin 
comporte aussi une deuxi&me zone m6moire contenant : 

* des composantes QA„ QA 2 , ... (QA., ...), et QB„ QB 2 , ... (QB., ...), 
representant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA., ...) et GB t , GB 2 , ... (GB ( , ...) 

* un exposant public de verification v. 

Les paires^de-Gies^pii'Vees^et publi ques*sont li^es^pai^des^rela'f ions du type : 
GA.QA V mod n slou GA s QA r mod n 

II. Une deuxieme entity est^appelde dispositif de signature^Elle. peut gtre 
egalement contenu^d?H§ ^dit^bjgt nomade. 

III. Une troisi&me entity appelfe dispositif contrdleur se presente sous la 
forme d'un terminal et/ou d'un serveur distant connect^ k un r6seau de 
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communication informatique. 

L'objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de manifere 
acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispositif contrdleur. 

Pour prouver la signature d'un message ledit objet nomade execute les 
etapes suivantes : 

o etop© 1. emigageinnieinit-R do dSspositifF HemrooSini t 
Le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {ir l9 r 29 b° 39 «o}, telle que, pour chaque facteur premier p p chaque 
collection comporte un alea ir.positif et plus petit que p . 
Le dispositif temoin comporte des deuxifcmes moyens de calcul pour Clever 
chaque al6a r % k la puissance v ibme modulo p, f pour chaque facteur 
premier p. , 

R, = r* modi Pj 

Puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin etablissent 
chaque engagement R modulo m selon la methode des restes chinois. 
Ainsi, le nombre d* operations arithmetiques modulo p, h. effectuer par les 
deuxiemes moyens de calcul pour calculer chacun des R, pour chacun des p, 
est reduit par rapport k ce qu'il serait si les operations etaient effectuees 
modulo un. 

II y a autant d'engagements R que de collections d'aleas {r l9 r 2 , r 39 00 o}. 

o etape 2. deffl d destine dispositif temoisn s 
Le dispositif de signature comporte des troisiemes moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message mm et chaque engagement R, au moins une collection de d£fis d 
{dA, dB, tels que 0 < dA < v - 1. Le nombre des collections de d6fis d 
6tant dgal au nombre _d' engagements R. Chaque collection {dA, dB 5 „ e } 
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comprend un nombre de defis egal au nombre de paires de cles. 

Le dispsitif de signature transmet les collecfioris dc defied au dispositif 

• etaped. reponse du dispositif temoin au defid : 

^ . #^§^ll& t6 ^^ moyens de calcwl pour 

calculer des r^ponses D, k partir desdites collections de d6fis d {dA, dB, ...} 
regues du dispositif contr61eur. A cet effet, 
il effectue des operations du type : 

D, = r, . QAj . QBj dB . ... mod p. 
puis, il appliquant la methode des restes chinois. 

Ainsi, le nombre d'op6rations arithm&iques modulo p, k effectuer par les 
quatm^mea moyen^de^ealeul pouifecaleuler-chacun des^Dj Ipour chacun des 
Pi est r^duit par rapport ^ ee qu'il serait*»si les operations etaient effectuees 
modulo n. 

II y a autant de reponses D calculees *par le temoiniqued' engagements R et 
de defis &m 

L'objet nomade*e6mp©rte*des*moyens de transmission^pour^transmettre les 
reponses D au dispositif de signature et/ou au dispositif controleur. 

• etape 4. donnees destinees au dispositif controleur : 

L'objet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message signe comprenant : 

- le message 

- les collections de defis d ou les engagements R, 

- chaque r^ponse^D 

• etape 5. verification par le dispositif controleur : 

Le dispositif contrdleur verifie la coherence des tripletsm{R^d, D} et la 
signature num6riqu^^du message m. j. 

Paire de clis conferant une securite equivalente a la connaissance de la 

cle privee Q 
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La paire de cles GA, QA,... n'a plus de raison d'Stre systematiquement 
deduite de l'identite du temoin, comme dans le cas du precede GQ. 
Dans le cas de la variante ci-apres expos6e les composantes QA l9 QA 29 0 « 
(QA i? 4 et QB l9 QB 2 , (QB,, ...), ... des cles privies QA 9 QB, ... sont 
des nombres tires au hasard a raison d'une composante QA, ? QB |9 ooa pour 
chacun desdits facteurs premiers p., lesdites cles privees QA 9 QB, pouvant 
6tre calculees a partir desdites composantes QA 1? QA 2 , „<> (QA ( 9 ooo), et QM l9 
QB z9 o.o (QB. 9 o..), par la methode des restes chinois. 

Le dispositif temoin comporte des huitiemes moyens de calcul pour calculer 

lesdites cles publiques GA 9 GB 9 

o en effectuant des operations du type : 

GA. = QA. V mmod p. 
o puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA v modl mi 

ou bien tel que 

GAoQA v modi eh = 1 
Ainsi, le nombre d' operations arithmetiques modulo p ( a effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo mi. 

De preference, l'exposant public de verification v est un nombre premier. II 
en resulte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

Paire de cles connlFerae(t oine secimrMe equilvalemle a Ea coEnnaSssamice die la 

facttorisatioini de un 
De preference, l'exposant public de verification v est du type 

v = a k 

ou Ik est un parametre de securite plus grand que 1. 

De preference egalement, l'exposant public de verification v est du type 
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v = 2 k 

ou k est un parametre d#^^ 

Dans ce easi la c\6 publique GA est un carre gA 2 inferieur t& n choisi de 
sorte que les deux Equations 

x 2 = gA mod n et x 2 s - gAmod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n. 
Le dispositif temoin comportant des neuvifemes moyens de calcul pour 
calculer lesdites composantes QA„ QA 2 , ... (QA. , ...) de la cl6 priv^e QA 
en appliquant des formules telles que : 

GA= QA, 2cxp<k> mod p § 

ou bien telles que : 

GA^QAfT ^'modipp^ *■ 
et en exteaj^tailatok rfeme^raeine^ai^^ de Galois 

CG( Pi ); 

Ainsi, le; nombre^d* operations arithmetiques modulo^p^ effgctuer par les 
neuviemes moyens de*ealeul du^ dispositif temoin pour calculer chacun des 
QA. pour^chaeun*»des**p. ^est ^redtfit^pajwrapport^a ce -qu«Al serait si les 
operations etaient effectuees modulo n. 

On d^montre que la paire de cles GA, QA confere une securite equivalente 
k la connaissance de la factorisation de n. 

De preference, pour extraire la k ieme racine carree de GA dans le corps de 
Galois CG(p.), on utilise les methodes suivantes : 

* dans le cas ou le facteur premier Pi est congru k 3 modulo 4, les 
neuviemes moyens de calcul du dispositif^ 

algorithme du type : 

x = (p+l)/4 ; y = x k mo<i(p^) ; z = y ; QA. s GA 1 mod p. 

* dans le eas ou le facteur premier p i est congru a 1 modulo 4, les 
neuvifemes moyens de calcul du dispositif t&noin appliquent notamment un 
algorithme base sur les suites de Lucas. 
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Termnmial ou Serveer distaet 



Comcepl general GQ2 



La presente invention concerne egalement un dispositif de contr61e, se 
presentant sous la forme d'un terminal ou d'un serveur distant connect^ & 
un reseau de communication informatique. 

Le terminal ou le serveur selon T invention permet de mettre en oeuvre le 
precede ci-dessus expose et de diminuer la charge de travail pendant une 
session destinee a verifier : 

- I' authenticity d'une entite et/ou 

- Forigine et Tintegrite d'un message mm. 
Le dispositif de contrdle met en oeuvre : 

- un module public n tel que m soit le produit de facteurs premiers 
secrets p 1? p 2 , ... (p i9 ...) (i etant supdrieur ou egal h 2) 



- des cles publiques GA, GB, ... 

- des exposants publics de verification vx 9 vy 9 . 08 

lesdites cles privees GA et les cles publiques associ^es QA etant liees par 
des relations du type : 



Le dispositif de contrSle fait intervener trois entit6s. 

L Une premiere entite, appelee dispositif temoin, contenue notamment dans 
un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
K et des reponses D a des defis d. 

II. Une deuxieme entite est appelee dispositif pilote dudit dispositif temoin. 

Elle peut etre contenue notamment dans ledit objet nomade. 

ML Une troisieme entite, appel6e dispositif controleur, est contenue dans 

ledit dispositif de controle. 

Le dispositif de contrdle comporte : 



n = Pi4V P 3 - 



GAoQA vx modi mslou GA = QA VB modl mi 
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- des moyens de connexion pour connecter electriquement, 
61ectromagnetiquement, optiqueriient ou de maniere acoustique ledit 
dispositif contrSleur audit dispositif t6moin et/ou audit dispositif pilote, 

- des moyens^de transmission pour transmettre les donnees produites 
par ledit dispositif contrdleur vers ledit dispositif t&nqin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit-dispositif pilote. 

Le dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis d 
tel que 0 < d < vx - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D re?ues dudit dispositif temoin et/ou dudit dispositif pilote, des 
engagements R' en effectuant des operations du type : 

R'^GA d . D" mod n 

ou du type : 

RV GA 4 = D x mod n 

- des troisiemes moyens de calcul pour verifier que les triplets {R% d, 
D} sont cohfirents. 

Cas ou Pexposant de verification v est unique 
De meme que precedemment, ledit dispositif de controle se presente sous la 
forme d'un terminal ou d'un serveur distant connecte a un rSseau de 
communication informatique. II met en oeuvre : 

- un module public n tel que n soit le produit de -facteurs premiers 
secrets p„ p 2 , ... (p., ...) (i etant superieur ou egal k 2) 

n = P,-P 2 * P 3 

- des cles publiques GA, GB, ... 

- un exposant public de verification v 

Les cles privees GA et les cles publiques associees QA sont liees par des 
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relations du type : 

GA*QA V mod m = 1 oe GA = QA v modl ira 
ledit dispositif de contrfile fait intervenir trois entites : 
L Une premiere entite, appelee dispositif temoin, est contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur. Le dispositif temoin produit des engagements 
R et des r^ponses D h. des defis dl. 

XL Une deuxieme entite est appelee dispositif pilote dudit dispositif t6moin 

Elle peut Stre contenue notamment dans ledit objet nomade. 

IIL Une troisieme entite, appelee dispositif controleur, est contenue dans 

ledit dispositif de contrdle. 

Le dispositif de controle comporte : 

- des moyens de connexion pour connecter 61ectriquement, 
electromagnetiquement, optiquement ou de mani&re acoustique ledit 
dispositif controleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn6es produites 
par ledit dispositif controleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 

Le dispositif contr61eur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis dl 
{dA, dB 9 tels que © < dA < v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D revues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R\ en effectuant des operations du type : 

R , sGA dA .GB dB ....D ¥ mo&m 

ou du type : 

K' o G A dA o GB dB . ...s D v mod n 
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- des troisiemes moyens de calcul pour verifier que les triplets {R\ d, 
D} sont coherents. 

Cas d'une authentification d' entity 
Cas oii 1'exposant de verification v est unique*- 

Dans le cas de cette variante de realisation, la session est destin6e k verifier 
1' authenticity d'une entite. Dans le cas d'une authentification d'entite, le 
dispositif pilote est appele dispositif demonstrates. 

Pour prouver 1' authenticity d'une entite ledit dispositif de contr6Ie execute 
les etapes suivantes : 

• etape 1. engagement R du dispositif temoin : 

Le dispositif t6moin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r p r 2 , r 3 , ...}, telle que, pour chaque facteur premier 
p r chaque collection comporte un-al6ar t entier positif et plus petit que . 
II y a autant d'engagements R que de collections d'aleas. 

• etape 2. defis produits par le dispositif contrdleur et destines au 
dispositif temoin : 

Les moyens de reception du dispositif de controle re9oivent tout ou partie 
de chaque engagement R, transmis par le dispositif demonstrateur, et le 
transmettent au dispositif contrdleur. 

Le dispositif contrdleur comporte des premiers moyens de calcul pour 
calculer, apres avoir re^u tout ou partie de chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, ...} comprend un nombre de defis egal au nombre de 
paires de cl£s. 

• etape 3. reponse du dispositif temoin aux defis d : 

Le dispositif t6moin comporte des quatri^mes moyens de calcul pour 
calculer des reponses D, k partir desdites collections de defis d {dA, dB, ...} 
re?ues du dispositif controleur. II y a autant de reponses D que 



d' engagements R et de d6fis d. 

o etape 4. donmees designees ana disposittilF comittrSlemiir % 
Les moyens de reception du dispositif de contr6Ie regoivent du dispositif 
demonstrateur chaque reponse B. 

o ©tape 5„ verifficattnoin) par k dispositif coimtrolleifflir t 
Le dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer h partir de chaque reponse B un engagement W en effectuant des 
operations du type : 

R'= GA GB o.oB v mod un 

ou du type : 

W . GA d \ GB *\ 00 ,e B v mod m 
Le dispositif contrdleur comporte des troisi&mes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit W reproduit tout 
ou partie de chaque engagement R transmis k P6tape 2 par le dispositif 
demonstrateur. 

Cas d'uninie amtlhieinittnlHcatloini de message 
Cas oil FexptDsamt de verniHcaitnomi v est unniqiuie. 
Dans le cas de cette variante de realisation particuliere, la session est 
destinee a verifier l'authenticit6 d'un message mm. Dans le cas d'une 
authentification d'un message mm, le dispositif pilote est appele dispositif 
demonstrateur. 

Pour prouver P authenticity d'un message m, ledit dispositif de contrSle 
execute les etapes suivantes : 

. o etape 1. eimgagemeeit R dim dispositif temrnoto s 
Le dispositif t6moin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r 1? r 29 ir 3 , telle que, pour chaque facteur premier 
p p chaque collection comporte un alea r, entier positif et plus petit que p. . 
II y a autant d'engagements R que de collections d'aleas. 

o etape 2. defis d prodoitts pair ledit dispositif coetroleimr et 
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destines au dispositif temoin : 

Les moyens de reception du dispositif de contrdle resoivent un jeton T 
calculi et transmis par le dispositif demonstrates en appliquant une 
fonction de hachage f ay ant comme arguments le message m et chaque 
engagement R. 

Le dispositif contrdleur comporte des premiers moyens de calcul pour 
calculer, apres avoir re?u le jeton T, au moins une collection de d6fis d 
{dA, dB, ...} tels que 0 < dA < v - 1. Le nombre des collections de d6fis d 
est 6gal au nombre d' engagements R. Chaque collection {dA, dB, ...} 
comprend un nombre de ddfis 6gal au nombre de paires de cl6s. 

• etape 3. reponse du dispositif temoin au defi d : 

Le dispositif temoin comporte dest quatrifcmes moyens de calcul pour 
calculer des r6ponses*D*k partir desdites collection de d6fis d {dA, dB, ...} 
re9ues du dispositif controleur; II y a autant de rdponses D calcul6es par le 
temoin que d ' engagementsvR It de defis d. 

• etape 4. donnees destinees^au dispositif contrdleur : 

Les moyens de reception- du dispositif de contrdle re?oivent du dispositif 
demonstrates chaque reponse D. 

• etape 5. verification par le dispositif contrdleur : 

Le dispositif contrdleur comporte des deuxiemes moyens de calcul pour 
calculer a partir de chaque reponse D un engagement R' en effectuant des 
operations du type : 

R'E=GA d \GB dB ....D v modn 

ou du type : 

R' . GA dA . GB " • D v mod n 

Le dispositif contrdleur comporte des troisi&mes moyens de calcul pour 
calculer un jeton T\ en appliquant la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R\ 

Le dispositif contrdleur comporte des quatriemes moyens de calcul pour 
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comparer et verifier que le jeton TP est identique au jeton T transmis k 
Tetape 2 par le dispositif demonstrates. 

Cas d'unne sSgimataine memernqoe de message 
Cas on I'exposamt die veirifflcatioini v est mumiquae 
Dans le cas de cette variante de realisation particulifere, la session est 
destin6e k verifier la signature numerique d'un message mm. Dans le cas 
d'une authentification d'un message m, le dispositif pilote est appel6 
dispositif de signature. 

Pour prouver la signature numerique du message m, ledit dispositif de 
controle execute les 6tapes suivantes : 

o ettape 1. eogagemeiratt R do t&noin t 
Le dispositif tdmoin produit au moins un engagement R k partir d*au moins 
une collection d'aleas {r,, r 2? r 3? o..}, telle que, pour chaque facteur premier 
p,, chaque collection comporte un alea r. entier positif et plus petit que p 5 . 
II y a autant d'engagements R que de collections d'aleas. 

o etape 2« defis d destines sm dispositif ttemoiim t 
Le dispositif de signature calcule, en appliquant une fonction de hachage IT 
ay ant comme arguments le message met chaque engagement R, au moins 
une collection de defis d {dA, dB, ..„} tels que © < dA < v - 1. Le nombre 
des collections de defis d est egal au nombre d' engagements R. Chaque 
collection {dA, dB, .00} comprend un nombre de defis €gal au nombre de 
paires de cl6s. 

Le dispositif de signature transmet les collections de d6fis d au dispositif 
temoin. 

o etape 3, reponnse dm dispositif ttemoin ami deffl d 1 
Le dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses B 5 a partir desdites collections de d6fis d {dA, dB, 
...}. II y a autant de reponses D calcul6es par le temoin que d'engagements 
R et de d6fis d. 
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Le dispositif temoin comporte des moyens de transmission pour transmettre 
les reponses D au dispositif de signature ,r et/du au dispositif contrdleur. 

* etape 4. donnees destinees au dispositif controleur : 

Les moyens de reception du dispositif de contrdle recoivenfedu dispositif de 
signature un message^signeMComprenant-*,:« 

- le message m, 

- les collections de defis d ou les engagements R, 

- chaque r^ponse D. 

* etape 5. verification par le dispositif controleur : 
Cas ou le dispositif controleur revolt la collection des defis d 

Dans ce cas, le dispositif controleur re?oit les collections des defis d et des 

rep©nsesJ3^fe 

Le dispjjtsiti^ 

* ties^premi^s -moyenswdeacalcul poui> calculer^ partir de chaque 
reponse D &n engagement R*tgn effectuant destoperations du*type : 

R^ G*.."7GB ^.^.D^ftiod n 

ou-du4ype.?34* 

R' . G A dA . GB dB . ...s D v mod n 

* des deuxiemes moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement reconstruit R\ 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque defi d' est identique au defi d figurant dans le message signe. 

Cas ou le dispositif controleur re^oit la collection des engagements R 
Dans ce cas, le dispositif controleur re?oit la collection des- engagements R 
et des r£ponses?D,' 
Le dispositi&eontrMe^ 

* des premiers moyens de calcul pour calculer chaque d£fi d% en 
appliquant la fonction de hachage f ayant comme arguments le message m 
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et chaque engagement R, 

* des deuxi&mes moyens de calcul pour calculer, alors, la collection 
des engagements W en effectuant des operation du type 

M s = GA d \ GB d ' B . ... D v mod n 

ou du type : 

W . GA d '\ GB d# \ W modi mi 

* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement W reconstruit est identique k V engagement R figurant 
dans le message signe. 

Pafire die cles comffi&rairt uume secuairilte eqravaleinite a la conninianssainice <ffle la 

cle prnvee Q 

La paire des cles GA, QA, ... n'a plus raison d'etre syst6matiquement 
deduite de 1' identity du temoin, comme dans le cas du proced6 GQ. 
Dans le cas de la variante de realisation ci-apres exposge les composantes 
QA,, QA 2 , ... (QA, , .o.), et QB„ QB 2 , ... (QB, , o..), des cles privees QA, 
QB, ... sont des nombres tir6s au hasard k raison d'une composante QA, , 
QB, , ooo pour chacun desdits facteurs premiers p |t lesdites cles privees QA, 
QB, pouvant Stre calculees k partir desdites composantes QA l9 QA 2 , ... 
(QA i9 ooo), et QB,, QB 2 , ooo (QB., ooo), ... par la methode des restes chinois, 
Le dispositif temoin comporte des moyens de calcul pour calculer les cles 
publiques GA, GB, ooo, 
o en effectuant des operations du type : 

GA,= QA,* mod p, 
o puis, en appliquant la m6thode des restes chinois pour Stablir GA tel que 

GA = Q A* modi im 

ou bien tel que 

GAoQA v mod n = 1 
Le nombre d' operations arithmetiques modulo p, k effectuer par les 
huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
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des GA, pour chacun des p t est reduit par rapport k ce qiTil serait si les 
operations etaient effectuees modulo n. 

De preference, Fexposant public de verification v est un nombre premier. 
On peut d6montrer que la paire de cl£s GA, QA conffere une security 
equivalents & la connaissance de la cie privee QA. 

Paire de cl& conferant une securite equivalente a la connaissance de la 

factorisation de n 

De preference, l'exposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1. 
De preference egalernent, l'exposant public de verification v est du type 

v = 2 k 

oil k est un paramfetre de securite plus grand que 1, 

Dans ce cas cie publique GA est un carr6 gA 2 inferieur a n choisi de sorte 
que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n. 
Le dispositif temoin comporte des neuviemes moyens de calcul pour 
calculer les dites composantes QA„ QA 2 , ... (QA,, ...) de la cl6 privee QA 
en appliquant des formules telles que : 

GA= QA^modp, 

ou bien telles que : 

GA .QA, ^mod p,= 1 

et en extrayant la k ieme racine carr6e de GA dans le corps de Galois 
CG( Pi ). 

Ainsi, le nombre d' operations arithmetiques modulo p, & effectuer par les 
neuviemes moyens de calcul du dispositif temoin pour calculer chacun des 
QA, pour chacun des p, est reduit par rapport k ce qu'il serait si les 
operations etaient effectuees modulo n. 
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On peut demontrer que la paire. de cles GA, QA confere une s^curite 
equivalente a la connaissance de la factorisation de n. 

De preference, pour extraire la k ieme racine carr6e de GA dans le corps de 
Galois CG(p,), 

* dans le cas ou le facteur premier p. est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA. = GA' mod p. 

* dans le cas oil le facteur premier p. est congru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

On va maintenant decrire de maniere detaillee la presente invention en 
presentant dans une premiere partie les elements mathematiques utilises, 
puis, en developpant dans une deuxieme partie le proced6 selon T invention 
appele nouveau procede. 

Premiere partie : elemeplts math^imtatiqiuies 
1. Coegroemices 

Dans ce paragraphe, x y y et z sont des entiers naturels. z n'est pas nul. 

La notation « x = y (mod z) » se lit « x est congru a y (mod z) » ; elle est 

equivalente a « z divise jc— y ». 

1.1. Proprietes de base des congreeinces 

Les quatre lois suivantes sont utiles. 

(Loi A) 

{ a = b (mod m); x = y (mod m) } 
=> { a±x = b±y (mod m); a.x = b.y (mod m) } 

(Loi B) 

{ a.x = b.y (modm); a = b (mod/n); pgcd(a,m) = l } 
=> { x= y (mod m) } 
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(Loi C) 

{ a = b (mod m) } <=> { a.n = b.n (mod mn) } 

(Loi D) 

{ a = b (modr.5); pgcd(r,s) = l } <=> { a = b (modr); fls*.(modj) } 

1.2. Theoreme de Fermat 

Lorsque p est un nombre premier, a p s a (mod p). 
Demonstration. 

La relation est triviale lorsque a est un multiple de p. 

Definissons la suite [X] pour un nombre entier a quelconque appartenant k 
{1,2,3, ...p-1}. 

{X}={^ =a. Puis, pour / > 1, x M = a + x t (mod p)} 
Calculons le terme pour l'indiee *+p : 

*i+ p= x i+ P a = */ ( m od p) 
Par consequent, la suite {X} est p&iodique et sa periode est p. 
Les p-1 premiers termes sont distincts et non nuls ; on y retrouve une fois 
et une seule fois chacun des entiers de 1 h p-1 ; les p-1 premiers termes 
forment done une permutation des entiers de 1 hp— 1. 
Calculons le produit des p-1 premiers termes de la suite {X}. 
Selon la loi A, a.2a3a. ... (p-l)a = 1.2.3.. (p-1) (mod p) 

Selon la loi B, a h =1 (mod p) 

Selon la loi A, a p =a (mod p) 

1.3. Theoreme d'EuIer 

La fonction d'Euler est notee par (p(n). C'est le nombre d'entiers positifs 

inferieurs a n et premiers avec n. 

=> Lorsque a et n sont premiers entre eux, 

aV (n) =\ (mod«). 
=> Lorsque n est un nombre premier p, 

(p(p)=p-l. 

Lorsque n est le produit de deux nombres premiers distincts p, et p r 
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cp(n) = (p-l).(p 2 -l). 
Lorsque la factorisation de n est /?*. /?/ . p 3 *. 

cp(n)/n = (1-1/^) . (l-l/p 2 ) . (l-l/p 3 ) . ... 
1.4. IRaimg des elements daiins He corps die Galons CG(p) 
Soit un nombre premier impair p. Soit un nombre entier positif a inferieur k 
p. Definissons la suite {X}. 

{x}={x l - a. Puis, pour /> 1, x M =a.xi (mod/?)} 
Calculons le terme pour l'indice i+p et utilisons le theoreme de Fermat. 

x i+p ~ °- P * x i s a = (mod p) 
Par consequent, la periode de la suite {X} est egale k p-1 ou k un diviseur 
de p-1. Cette periode d6pend de la valeur de a. Par definition, cette periode 
est appele? « le rang de a (mod p) ». 

*rang(a, p) = 1 (^od p) 

Les elements de CG(p) ay ant pour rang p-1 sont appeles les « Elements 
generateurs de CG(p). » La denomination est due au fait que leurs 
puissances successives dans CG(p), c'est-k-dire, les termes de la suite {X} 
pour les indices de 1 a forment une permutation de tous les elements 
non nuls de CG(p). 

Soit un element generateur a de CG(p). Evaluons le rang de l'el6ment d 
(mod p) : ce rang s'exprime simplement en fonction de i et de p—1 . 
=> Lorsque i est premier avec p— 1, c'est p-1. 

Lorsque i divise c'est (p—1)//. 
=> Dans tous les cas, c'est (p-l)/pgcd(p-l, /). 

Par consequent, dans le corps CG(p), il y a (p(p-l) elements generateurs od 
cp est la fonction d'Euler. 

Par consequent, dans le corps de Galois CG(p) ou (p-l)/2 est un nombre 
premier impair note par p\ 
=> il y a un seul element de rang 1 : c'est 1, 
il y a un seul element de rang 2 : c'est -1, 
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=> il y ap'-l elements de rang p\ 

=> il y ap-l elemTghts de Tang 2.p'; ce sonfles elements g6nerateurs. 

1.5. Fonction de Carmichael 

La fonction de Carmichael de n est notee par A,(n). C'est la valeur maximale 
du rang (mod ri). f 

=> Lorsque n est le produit de deux nombres premiers impairs p x et p 2 , 

X(n) = ppcmO,-!, p 2 -l). 
=> Lorsque a et b sont premiers entre eux, 

\(a.b) = ppcm(X(a), *k(b)). 
=>Pour les puissances d'un nombre premier impair p, 

=>Pour les puissances de 2, 

A<2)=l;XC*) = 2;X(2:) = 2'- a . 
=>Dans tous les cas, %{n) divise <p(n). L'egalite n'intervient que lorsque n 
est premier. 

1.6. Residus quadratiques 

Considerons Tequation x = c (mod n) ou rentier positif c est inferieur & n 
et premier avec n. 

• Lorsque Tequation a des solutions en x, on dit que c est un residu 
quadratique (mod n). 

• Lorsque l'equation n'a pas de solution en jc, on dit que c est un residu 
non quadratique (mod n). 

L' ensemble des residus quadratiques (mod n) forme un groupe (mod n) 
pour la multiplication. En effet, le produit de deux residus quadratiques 
(mod n) est un residu quadratique (mod n). En outre, le produit' -d'un residu 
quadratique (mod ri) par un residu non quadratique (mod n>est un residu 
non quadratique (mod n). 

1.7. Structure du corps de Galois CG(p) 

Pour tout nombre premier impair p, il y a (p-l)/2 residus quadratiques (mod 
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p) et (p-l)/2 residus non quadratiques (mod /?). De plus, l 2 , 2 2 , ... ((p-l)/2) 2 
forment un ensemble complet de residus quadratiques (mod p). 
Pour tout nombre premier impair p 9 chaque residu quadratique (mod p) a 
exactement deux racines carrees dans CG(p). En effet, pour tout un element 
generateur a de CG(p), a (mod p) est un residu quadratique si et seulement 
si i est pair ; ses racines carries sont alors ±a in (mod p). Les elements x et 
p~x ont le meme carre dans CG(p). 

Pour tout nombre premier p congru h 3 (mod 4), pour tout nombre x positif 
et plus petit que p 9 Tun des deux nombres x ou p-x est un r6sidu 
quadratique (mod p) et 1* autre un residu non quadratique (mod p). Alors, la 
transformation « Clever au carre (mod p) » permute 1* ensemble des r6sidus 
quadratiques (mod p). L* ensemble des residus quadratiques (mod p) est 
souvent note par Q p . Dans Fensemble Q p , les deux transformations « Clever 
au carre (mod p) » et « prendre la racine carree (mod p) » sont definies et 
inverses Tune de T autre. 

Remarqineo Dans CG(p), lorsque (p-l)/2 est un nombre premier impair p\ 
les residus quadratiques (mod p) sont les p -1 elements de rang p' 
completes par l'element de rang 1, c'est-k-dire, 1. 

Lorsque p est un nombre premier congru a 1 (mod 4), la propriety 
precedente peut se generaliser comme suit : si p-l = z.2 e ou z est impair et e 
plus grand que 1, alors la transformation « elever au carre (mod p) » 
permute 1'ensemble des nombres c de rang impair, c'est-k-dire, dont le rang 
divise z (c'est z lui-meme ou bien un diviseur de z), c'est-a-dire, Fensemble 
des nombres c tels qu'il y a des solutions cnxk V equation suivante : 

x = c (mod p) 

D'une maniere plus generate, dans Fensemble des elements de rang impair 
de CG(p), 1'operation « elever au carre (mod p) » est une permutation. La 
permutation inverse peut legitimement s'appeler « prendre la racine carr6e 
(mod p). » _ 
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1.7.1. Fonction exponentielle sur CG(p) 

Lorsque p est un nombre premier fmpair-et que a est un Element g6n6rateur 
de CG(p), la transformation « elever a k la puissaneer jc i£me*(mod p) » 
permute les elements non nuls de CG(p). La permutation*inverse est dSfinie 
par « prendre le logarithme discret de y en base a dans CG(p) ». 
Lorsque a est un element generateur de CG(p), 

y = a x (mod » <=> y h-> jc = log a (y ) dansCG(p) 

1.7.2. Fonction puissance sur CG(p) 

Lorsque p est un nombre premier impair et que v est premier avec p-l 9 la 
transformation « elever x & la puissance v ifeme (mod p) » respecte le rang 
des elements. Elle permute les elements de CG(p). La permutation inverse 
est defiiiie par^une autre transformation^ eleven^ k une^puissance s feme 
(mod^/?)^ou^/7-l dl#se*v.^-l. Oi^ifr que*rexp©sant*tf est « inverse de 
Pexposantrv (modi^l*)« r » 

x m>*y = x v (mod^)^<=^«y h-*~x = y s (mod p) 
1.8. Symboles de Legendre et de Jacobin 

Lorsquewp ;est rt un»noFnbre*3premier^on»iipeut classes les^entiers positifs en 
deux categories : les multiples de p et les nombfes premiers avec p. En 
outre, les nombres premiers avec p se classent eux-memes en deux 
categories : les residus quadratiques (mod p) et les residus non quadratiques 
(mod p). 

Legendre a introduit un symbole special note par (c I p). Le symbole de 
Legendre de rentier positif c par rapport au nombre premier p prend les 
valeurs +1, -1 et 0. * 

• (c I P) = 0 lorsque c est un multiple de p. 

• (c I p) = +1 lorsque c est un residu^quadratique (mod p). 

• (c I p) = -1 lorsque c, est un residu non quadratique (mod p). 

La formule suivante 6tablie par Euler permet de calculer le symbole de 
Legendre (en assimilant tout naturellement les valeurs -1 et p-1) ; cette 



• 62 # 



formule est encore appel6e le « critere d'Euler. » 

(c | p) = c^' 1 * 2 (mod /?) 
Le symbole die Jacobi generalise le symbole de Legendre. Les deux 
symboles sont notes de la mSme maniere. Connaissant la factorisation de 
rentier impair n, la formule suivante definit le symbole de Jacobi par 
rapport k n a partir du symbole de Legendre par rapport k chaque facteur 
premier de n. 

Si n=p ia .p 2 p... , *lors (c \ n) = (c | p x )a.(c I p 2 )p ... 
En d'autres termes, si a et sont des entiers positifs impairs premiers avec 
c et c\ 

(cU.i) = (c|fl).(cU) et (c | a) . (c' I a)= (c\ c | a) 
Attention, residus quadratiques et 616ments avec symbole de Jacobi 6gal k 
+1 ne coincident pas. 

* Tous les residus quadratiques (mod n) ont un symbole de Jacobi egal k 
+1. 

* La valeur -1 du symbole de Jacobi caracterise exclusivement <ies residus 
non quadratiques (mod n). 

* Lorsque n n'est pas premier, il y a des residus non quadratiques dont le 
symbole de Jacobi vaut +1. 

Voici la base de la loi de reciprocite quadratique, la « reine de la th^orie des 
nombres » aux dires de Gauss. Lorsque m et n sont deux nombres premiers 
impairs distincts, deux cas se pr^sentent : 

- Ou bien, ils sont tous deux congrus a 3 (mod 4) ; dans ce cas, une 
seule des deux equations suivantes, x=m (mod n) et jc 2 s n (mod m), 
a deux solutions en jc. 

- Ou bien, ils ne sont pas tous deux congrus k 3 (mod 4) ; dans ce cas, 
les deux equations ont des solutions ou bien aucune des deux n'a de 
solution. 

La loi de reciprocate giaadratique lie les symboles de Jacobi (m | ri) et 



64 



u = a ' P l et v i =a i +p i 

On verifie alors simplement que les expressions sont encore vraies pour 
l'indice i+2. Or, elles~sont vraies pour les indices 0 et 1. Par recurrence, 
elles sont done vraies pour toufcindiee i positif ou nul.. 
Par la suite, on utilisera egalement les relations suivantes. Leur 
demonstration est triviale. 

Pour doubler l'indice, 

"2i = "i-v, ; v 2 j - = vf - 2.P' 
Pour retrancher un a l'indice, 

*W= (Sjii-mr v f U 2.P et = (S.v,- - A. Mf )J 2.B 

Par ailleimt>iile5«^<iiBesai(z«&t«^ j$'expriment ; faeilemenUen fonction de 

ae {fiW- V^2=» et-« 0 = (5 Va >/ 2 *? 
Les expressions-de**ft. et v, en fonction des racines a et /3 s'ecrivent encore : 



5 + 
2.VA 



2.VA 



et v t - = 



f 5 + Va 



Developpons les polynSmes (S + VA) 2 '* +I et (S-7a) 2 * +1 et combinons 
leurs developpements. 

2 2 *.« 2 .* + i = 4.* +1 .S 2 -* + CL + , -5 2 *- 2 .A + ... C 2 ;<;j . S^+A* 

1=0 
(=0 



5 2 *- , .A+ ... C^;f .5 3 .A*-' + C 2 ;* +1 .S.A* 



C'est ainsi que Lucas a decouvert et 6tablit le theorfcme suivant : 

Lorsque p est un nombre premier impair ne divisant ni P 9 ni S, ni A, p 

divise u-(A \ p) et u-£ I pY 

2. QnneDqunes mmetlhodles prattiquLGS die calami 
2.1. IRadnnes cainrees d auras CG(p) 

Lorsque c*"" 1 * 2 (mod p) vaut +1, l'equation x 2 = c (mod p) a deux solutions 
dans le corps de Galois CG(p) ; ces deux solutions sont appelees « racines 
carrees de c (mod p) ». 

2.1.1. Cas p est congnm a 3 (m©dl 4) 

Selon le crit&re d'Euler, on a : 

c (P-D/2 sl (mod p)j cequidonne> C (^)/2 SC (mod p) 

Lorsque le nombre premier p est congru k 3 (mod 4), le nombre (p+l)/4 est 
un entier ; par consequent, les deux racines carrees de c dans CG(p) sont 
alors ± c (p+1)/4 (mod/?). 

2.1.2. Cas oh p est cojnigrnii a 1 (mod 4) 

Lorsque p est congru h 1 (mod 4), on utilise les suites de Lucas pour 
calculer une racine carr6e de c (mod p). On affecte la valeur c au parametre 
P. Puis, on cherche une valeur du parametre 5 telle que le discriminant 
A = S 2 - 4.c soit un residu non quadratique (mod p). On proc&de par essais 
successifs. En pratique, on part de S = 1, puis, on fait croltre la valeur de S. 
Lorsque A est un residu non quadratique par rapport k un nombre premier p 
impair ne divisant ni c, ni 5, ni A, les suites de Lucas pour les indices p+1 et 
/?+ 2 sur le corps CG(p) sont dans Fetat initial multiplie par c. 
Or, on connait les relations suivantes : vf — Am? = 4.P' et u 2 / = K/.v/ 
En d'autres termes, p divise alors u^ x qui est egal au produit de w^,^ par 
v^ ivr Par consequent, p divise alors u^ m ou v^ iyr En fait, p ne peut 
diviser v^ iy2 ; il divise done ■« . 

On obtient done, v ( 2 p+1) , 2 = 4xr (/,+1) ' 2 (mod /?) 

Or, c (p+,)/2 =c (modp) 
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Par consequent, le nombre : x = ~ v ( P n)/2 (mod p) est alors une 
solution a P equation : x 2 = c (mod p). 

Les relations suivantes sont utilises pour calculer les suites {U} et {V} 
ensemble^ 

Pour doubler rindice, u 2 j = w/.v, ; v 2 /= vf - 2.c' 
Pour ajouter 1 * Tindice, u M = (5^ z - + V| - )/2; v /+1 = (A. M/ + Sy ( )/2 
La procedure suivante utilise trois variables : x pour w , y pour v et z pour c\ 
L'indice cible est (p+l)/2 ; iLest cod6 par une sequence de j bits. Cette 
sequence est examin6e du bit de poids fort au bit de poids faible. 

1 . Donner k x la valeur 0 ; donner a y la valeur 2 ; dormer k z la valeur 1 . 

2. R6peter j fois la sequence suivante. 

Remplaeerx parx.y (mod p). 
Remplacer y par y 2 - 2.z (mod p) 
Remplacer z par* 2 (mod p). 

Si le j ieme bit codant Tindice cible vaut 1, executer la 
sequence suivante. 

Remplaeer / par x. 

Remplacer x par (5./ + y)/2 (mod p). 

Remplacer y par (Sj + A.y)/2 (mod /?) 

Remplacer z par z.c (mod /?). 

3. Remplacer y par y/2 (mod p). Le resultat cherche est y. 
2.2. Algorithme d'Euclide 

L'algorithme d'Euclide opere la division des entiers. Soient deux entiers 
positifs x et y tels que x soit plus grand que y. Divisons & par y, pour obtenir 
un quotient q positif et plus petit que ou egal k x et un reste r positif ou nul 
et plus petit que y. 

Soit, 0 < y < x 
Par consequent, x = q.y + r avec 0<q<x et 0<r<y 
2.2.1. Coefficients de Bezout et pgcd 
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Par definition, les coefficients de Bezout de deux entiers positifs x et y sont 
deux entiers ketl definis de maniere unique par : 

0<k<y, 0<l<x et k.x -ly = ±pgcd(.x, y) 
Par divisions successives, ralgorithme d'Euclide permet de calculer 
5 efficacement les coefficients de Bezout et le plus grand commun diviseur 

de deux entiers positifs. 

A partir des valeurs initiales C 0 = x et C, = y, considerons les divisions 
successives : 

c o = <1\ A + C 2 \ C x = q 2 .C 2 +C 3 ; ... 
10 jusqu' a : C L _ X = q L .C L + C L+l ou C L+1 = 0. 

Les restes successifs forment la suite {C} qui est ainsi definie pour les 
indices /' allant de 0 a L+l. 

Les quotients successifs forment la suite {q} qui est ainsi d6finie pour les 
indices i allant de 1 a L. 
15 La suite { C) peut encore se definir de la maniere suivante. 

{c}={C 0 =x; C l =y; puis, pour i allant de 1 a L, C l+1 s C,_, - q i .Q } 
=> La suite {C} est strictement decroissante de C 0 jusqu'a C M qui est nul. 
Definissons maintenant deux autres suites appelees {A} et {B}. 

{A}= { Aq = 1; A x = 0; puis, pour i allant de 1 a L, A i+l = A^ + q t .A,- } 
20 {B}= { B 0 = 0; B Y = 1; puis, pour i allant de 1 a L, B i+l = B t _ x + q { B t } 

Les premiers termes de la suite [A } sont 

A 0 = 1,A,=0,A 2 = 1,A 3 = ^ 2 , A 4 = 1 +q 2 .q 3 , ... 
=> La suite {A} est strictement croissante de A 3 a A t+I . 
Les premiers termes suivants de la suite {B} sont 
25 B 0 = 0,B l = l,B 2 = q v B J =l+q l . q v ... 

=> La suite {B} est strictement croissante de B 2 a 

En eliminant ^. entre les definitions des suites {A} et {C}, nous obtenons : 

A,- .C l+1 + A l+1 .Q = A_, .Q + A f - .C f -_, 
Par consequent, la valeur de A,-.C I+I + A l+1 .Q est constante pour i allant de 
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OaL. 

Puisque Aq + A x .C 0 = y , nous obtenons : A L+1 ,C L = y, 
Et, de- la m6me maniere, B L+l .C L = x. 

Par ailleurs, remarquons les 6galit6s : x.Aq - y.B Q -x = (-l)°fC 0 

x.A l -y.B l =-y = (-i) 1 .C l 
Supposons la relation vraie pour les indices i— 1 et i ; puis, verifions qu 
est encore vraie pour l'indice i+l. 

x A+\ ~ y-B i+ i = x.^^ + qi .Ai) - y.(Bi_ x + q^) 
= (x. A_! - y.Bi _, ) + qi .{x.Ai - yJBO = (-l)'" 1 .(C M - ft .Q ) = (-l) l+1 JC 
Par recurrence, pour i allant de 1 a L, x.Ai - = (-1)' .C, 
En particulier, on obtient finalement : x.A L - y.B L = (-1) L .C L 
Les coefficients de Bezout de x et y sont egaux-a A L et B L . 
Le plus grand commun diviseur de x et y est egal a C L . 
Exemple. Calculer les coefficients de Bezout de 10 103 et 63 659. 
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3 701 =A L 


23 320 = B L 


i = q 
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10 103 =y 
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Les calculs sont plus simples que les explications. 
23 320 . 10 103 ±= 235 601 960 3 701 . 63 659 = 235 601 959 

23 320 . 10 103 - 3 701 . 63 659 = 1 

2o2o2„ Innveirsnoini (bummA id) 

L'algorithme d'Euclide calcule aussi r inverse (mod x). Lorsque y est 
positif, que x est plus grand que y et que x et y sont premiers entre eux, 
c'est-a-dire, C L =pgcd(x, y) = 1, les notations « y- (mod x) » et « 1/y 
(mod x) » ont un sens. Bien entendu, la suite {A} est alors inutile. 

Lorsque L est impair, 1' inverse de y (mod jc) est egal k B L . 

Lorsque L est pair, 1* inverse de y (mod jc) est egal k x - B v 

Dans Texemple ci-dessus, 23 320 est 1* inverse de 10 103 (mod 63 659). 

2<,2o3o Metlb©de dies restes cfamons 

Lorsque x et y sont deux entiers positifs premiers entre eux, les calculs 
suivants transforment une representation k une composante (mod x.y) en 
une representation a deux composantes (mod jc) et (mod y). 

a x = a xy (mod x) et a y s a xy (mod y) 
Voyons maintenant comment realiser Top6ration inverse, c'est-&-dire, 
comment calculer la representation a une composante (mod x.y) connaissant 
la representation k deux composantes (mod jc) et (mod y). La technique 
decrite ci-dessous est connue comme la « methode des restes chinois. » 
Supposons x plus grand que y. Tout d'abord, reduisons jc (mod y) 9 puis, 
inversons le resultat (mod y). Ce calcul est generalement fait k Tavance et 
le nombre A est stocke dans le dispositif de calcul. Le nombre A est un 
« paramfetre des restes chinois. » 

A = {x (mod y)}- 1 (mod y) 
Ensuite, reduisons la composante a x (mod y). 
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a' x = a x (mod y) 

Le resultat cherche s'obtient alors par Tune des deux formules suivantes. 
Lorsque a y est sup6rieur ou 6gal k a ' x , 

a , y = U • K ~ a \) (mod + a 
Lorsque a y est inferieur k a ' x9 

a „ y = + (mod y)}. x + a x 

2.3. Calcul du symbole de Jacobi 

Le calcul du symbole de Jacobi d'un entier positif k par rapport a un entier 
positif impair n plus grand que k se deroule selon la procedure suivante qui 
utilise cinq variables appelee x, y y z, e et /. Cette procedure n'utilise pas la 
decomposition de n en facteurs premiers. 

• La variable x est positive et impaire, strictement decroissante k partir 
de la valeur initiate n. 

• La variable y est positive et inferieure a x, strictement decroissante h 
partir de la valeur initiale X 

• La variable z est positive, impaire et inferieure a y. 

• La variable e est Texposant du facteur 2 extrait de y. Seule sa parit6 
doit etre evaluee. 

• La variable / vaut +1 ou -1 en partant de la valeur initiale +1 . 
Calcul pratique de (k \ n) avec k positif et n impair et plus grand que k 

1 . Donner a x la valeur n ; donner a y la valeur. k ; donner a 7 la 
valeur +1. 

2. Decomposer y en z.2 c ou z est impair et positif et e positif ou nul. 

(y \ x) = (z. 2' \ x) = (z I x) . (2 | x) e . 

Si e est impair et si x = 3 ou 5 (mod 8), changer le signe de J. 

3. Appliquer la loi de reciprocity quadratique sur z et x qui sont 
tous deux impairs. 

(z I x)=(x i z).(-ir ,( ^' 4 
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=> Si x et z = 3 (mod 4), changer le signe de 7, 

4. Reduire x qui est toujours plus grand que z. 
=> Remplacer y par * (mod z). 

=> Remplacer x par z. 

5. Si x est plus grand que 1, revenir k Tetape 2. 

Si x est egal a 1, alors le symbole de Jacobi vaut J et les deux 
nombres k et n sont premiers entre eux. 

Si x est nul, alors le symbole de Jacobi est nul et le pgcd de k et 
n est egal k z. 

ExempEeo Calculer (10 103 | 63 659), c'est-a-dire, (2777 | F8AB) en 
notation hexadecimale. 

On retrouve les divisions successives de Talgorithme d'Euclide et le calcul 
du pgcd. Le decalage de ligne materialise 1* extraction du facteur 2. Le 
symbole « * » materialise le changement de signe de J. 
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Par consequent, (10 103 | 63 659) = -1. 
2 A. Carre et racine carree dans Q n 

Dans ce paragraphe, le module n est le produit de deux facteurs premiers p x 
et p 2 congrus k 3 (mod 4). Dans ce cas, (p t +l}/4 et (p 2 +l)/4 sont des 
nombres entiers. 

Definissons la notation « (mod* ri) ». Cette operation consiste k calculer 
normalement le resultat x (mod ri), puis, a garder x ou n-jt, le plus petit des 
deux, comme resultat final. 

Lorsque le module n est le produit de deux facteurs premiers p x et p 2 
congrus k 3 (mod 4), definissons la notation « Q n ». C'est 1* ensemble des 
elements de Panneau des entiers (mod ri) qui sont plus petits que n/2 et dont 
le symbole de Jacobi par rapport k n vaut +1. L'ensemble Q n a une structure 
d'anneau. 

Considerons une premiere transformation definie par « Clever un element x 
de Q n au carre (mod* ri) ». Le resultat y appartient egalement k Q n . 

y = x (mod * ri) 

Considerons une deuxieme transformation dSfinie par « elever y k la 
puissance 0,+l)/4 (mod p x ) », puis, « elever y k la puissance (p 2 +l)/4 
(mod/? 2 ) », avant d'utiliser la methode des restes chinois pour etablir le 
resultat z (mod* ri). Lorsque /?, est plus petit que p 2 , les calculs sont trfcs 
precisement les suivants. 

y\=y (mod Pl ); zi = y{ Pl +1)/4 (mod Pl ) 
y 2 = y (mod p 2 ); z 2 - y { 2 p *+ l)/4 (mod p 2 ) 
z*=z 2 (mod^); Si z x > z\ z ,, = ^ 1 "-z , ; Sinon, z"= z } + p x - z % 
A={/? 2 (modpj)}" 1 (mod/?!); 
Zi,2={A-z" ( mod P\)}-P2 + Z2> z = Zi,2 (mod*n) 
Ces deux transformations sont inverses Tune de 1' autre. Leur produit est 
1'identite parce que le resultat z retablit le nombre x de depart. Ce sont deux 
permutations, inverses Tune de V autre, des elements de O . 
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La premiere permutation calcule « le carre y dans Q,, de l'element x de 
Q„ ». 

La deuxieme transformation calcule done « la racine carree x dans O de 
r Element y de Q n ». 

Par la suite, on aura besoin de la « k ifeme racine carree de y dans Q , » 
e'est-a-dire, de la solution x dans Q n a liquation : 

2* 

y = x (mod * n) 

Plutdt que d'extraire k racines carrees de rang dans Q n , il vaut mieux 
proedder « globalement » de la maniere suivante. Cette remarque fut faite 
en son temps par Oded Goldreich. 

>>!=;>> (mod pj); z = (Pi+l)/4; t = z k (mod p x -1); x x ee y{ (mod p x ) 
y 2 =y(modp 2 ); z = (P2+l)/4; t = z k (mod p 2 -1); x 2 = >> 2 (mod /? 2 ) 
= * 2 (mod/?j); Si x l >x\ x"=x } -x'; Sinon, jc"= x x + p x - 
A = {p 2 (mod pi)}" 1 (mod/?!); 
x l2 s {A.x n (mod p x )}p 2 +x 2 ; x = x h2 (mod * ri) 
2.5. Nommbres die Williams eti: racine carree de 4 daims Q n 
Hugh C. Williams a decouvert Tinteret cryptographique des modules n, 
produits de deux facteurs premiers p x et p 2 tels que p x soit congru k 3 (mod 
8) et p 2 k 7 (mod 8). 

Lorsque le module n est le produit de deux facteurs premiers p l et p 2 tels 
que p x soit congru a 3 (mod 8) et p 2 a 7 (mod 8), on obtient (2 | p x ) = -1 et 
(2 | p 2 ) = +1, e'est-a-dire que 2 est un r6sidu non quadratique (mod p x ) et 
un residu quadratique (mod p 2 ) ; done, ni 2 (mod n), ni -2 (mod n) 
n'appartiennent a Q n . 

Par la suite, a denotera la racine carree de 4 dans Q n . Cette racine est 
representee par les composantes : a x =-2 (mod p x ) et 0^=2 (mod p 2 ) ou 
bien par a, = 2 (mod p x ) et a^-2 (mod p 2 ) ; e'est l'element dont la 
representation (mod n) est plus petite que nil. 
II y a alors equivalence entre 



75 



la connaissance du nombre a et 
la connaissance de la factorisation du mbdifli n. 
Demonstration* 

D'une part, etant donne a, le module n divise 6t-A ; maisle symbole de 
Jacobi de a par rapport a n vaut +1 alors que celui de 2 vaut -1 ; le module 
n ne divise done ni a-2, ni a+2. Par consequent, le facteur premier p 2 est le 
plus grand commun diviseur de n et a-2 ; le facteur premier p x est le plus 
grand commun diviseur de n et a+2. 

D' autre part, etant donnes les facteurs premiers p } et p v la racine carree de 
4 dans Q n est representee par les composantes : a, = -2 (mod p x ) zt a 2 = 2 
(mod /? 2 ), ou bien, a, = 2 (mod p x ) et a 2 = -2 (mod p 2 ). Selon les restes 
chinoisv on^reeonstraitea.^ 

Shafi Goldwasser^Silvio Micali et Ronald Rivest ont 4ntroduit la paire de 
fonctions {F 0 ; F, } sur 

F$$m x 2 (mod* n) eUiF^) ^ 4 A (mod%/i) 
Cette paire*de#fonctions permute4es eletoentssdeiQ*^ 

Une « collision ~» est d^finie par deux elements x et y de Q n tels que F 0 (jc) = 
F,Cy). Connaitre une collision equivaut a connaitre les facteurs premiers du 
module n. La demonstration est semblable k la demonstration ci-dessus. Par 
consequent, cette paire de permutations resiste aux collisions pour qui ne 
connait pas les facteurs premiers p x et p 2 du module n. 

Nous disposons done de tous les ingredients necessaires k une 
demonstration de la connaissance de la factorisation d'un module public n 
sans en transferer la connaissance. 
3. Charges de travail 

La charge de travail pour « elever x k la puissance v feme (mod n) » depend 
de la valeur et de la forme binaire de Fexposant v, de la taille de 1' argument 
x et de la taille du module n. Dans le cadre de ce memoire, Texposant v est 
plus petit que le plus petit facteur premier du module n. 



U utilisation des facteurs premiers p v p 2 , ... d'un module n diminue la 
charge de travail pour calculer (mod n). Plut6t que Top^ration directe 
« elever x a la puissance v ieme (mod ri) », on peut avantageusement 61ever 
x a la puissance v ifcme dans chacun des corps CG(p,), CG(p 2 ), ... c'est-k- 
dire, (mod /?,), (mod /? 2 ), ... puis, etablir le resultat dans Tanneau Z rt , c'est-k- 
dire, (mod n - p x fois p 2 fois ...). Cette manifere de proc6der est appelfie la 
« methode des restes chinois. » 
3.1L MeMpMcatfoini el cainr6 (mod m) 

En pratique, avec des programmes optimises, le rapport entre la charge de 
travail pour un « carre modulo » et la charge de travail pour une 
« multiplication modulo » est environ 0,75. Par exemple, sur le composant 
ST 16601 pour carte a puce, avec une horloge normalis6e k 3,579545 MHz, 
le carre modulo pour 512 bits se fait en 150 ms et la multiplication modulo 
en 200 ms. 

Pour effectuer une operation « multiplication modulo », on peut multiplier, 
puis, reduire : 1* operation de multiplication demande k peu prfcs autant 
d' effort que Top6ration de reduction modulo. 

La multiplication de deux nombres de 512 bits peut se ramener k des 
multiplications de nombres de 256 bits. Chaque nombre de 512 bits s'ecrit 
alors a+b.2 256 ou a et b sont des nombres de 256 bits. La multiplication de 
a+b.2 256 par c+<i.2 256 amene a calculer les quatre produits a.c, a.d, b.c et bA. 
En doublant la longueur, on multiplie par quatre la charge de travail pour 
multiplier. Le carr6 de a+b.2 256 amene k calculer les deux carr6s a 2 , b 2 et le 
produit a.b. En doublant la longueur, on multiplie par trois la charge de 
travail pour elever au carre. 

De meme, la multiplication de deux nombres de 512 bits peut se ramener a 
des multiplications de nombres de 171 bits. Chaque nombre de 512 bits 
s'ecrit alors fl+2 l7I .fc+2 342 .c oh a, b et c sont des nombres de 171 bits. La 
multiplication de a+2 I7, .fc+2 342 .c par J+2 I71 .6+2 M2 / amene k calculer neuf. En 
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doublant la longueur, on multiplie par neuf la charge de travail pour 
multiplier. Le carre de c2+2 17, .fc+2 342 .c am£ne a calculer trois carres et trois 
produits. En doublant la longueur, on multiplie par six la charge de travail 
pour elever au carr& 

3-2. Elever x a la puissance y ieme (mod n) 

Prenons en exemple la valeur v = 3, puis, la valeur v = 65537. 

Pour v = 3, c'est-k-dire, 2+1, il faut elever V argument au carr6 (mod n), 

puis, multiplier le resultat pari' argument (mod n). 

Pour v = 65 537, c'est-a-dire, 2 I6 +1, il faut elever l'argument au carr6 
(mod ri) seize fois de rang, puis, multiplier le r6sultat par r argument 
(mod n). 

Dans le cadre de ce m6moire, Texposant v est plus petit que le plus petit 
facteur premier du .module n. II n'y a done pas done de reduction de 
Fexposant v en fonction des differents facteurs premiers du module n. Par 
rapport au calcul direct de « elever jc h. la puissance v ieme (mod n) » ou 
1* argument x et le module n ont la meme taille, la methode des restes 
chinois divise la charge „de travail 

- par deux lorsque le module n a deux facteurs premiers p x et p 2 de meme 
taille, 

- par trois lorsque le module n a trois facteurs premiers p v p 2 et p 2 de meme 
taille, 

et ainsi de suite. 

On peut generaliser la methode precedente ; ainsi, la proc6dure suivante 
calcule x (mod n) pour ^un exposant v = 2 1 ^v/.!^ 1 " 1 + ... v^ + vq ou 
chaque bit de v n a v 0 vaut 0 ou 1. 

1 . Donner h. y la valeur jc. 

2. R6p6ter la sequence suivante pour k allant de /— 1 h 0. 

Remplacer y par y 2 (mod n). 

Si le bit v k vaut 1, remplacer y par x.y (mod n). 
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3. Le r£sultat cherche est y. 
Selon la procedure precedente, le calcul peut se faire par log 2 (v) carr6s 
(mod n) entrelaces avec h(v) multiplications (mod n). La notation h(v) 
repr6sente un de moins que le poids de Hamming de v, c*est-&-dire, que 
l'6criture de v en binaire comporte h(v)+l bits k 1. 

Pour un module n de 512 bits, cela signifie log 2 (v) carres (mod n sur 512 
bits) et h(v) multiplications (mod n sur 512 bits). 

Pour un module n de 256 bits, cela signifie log 2 (v) carres (mod n sur 256 
bits) et h(v) multiplications (mod n sur 256 bits). 

Pour un module n de 171 bits, cela signifie log 2 (v) carr6s (mod n sur 171 
bits) et h(v) multiplications (mod n sur 171 bits). 

Beoxieinnie partie : momiveae precede 
1. Expo§<§ du mioiuiveaiiii procedle 

Le proced6 est destin6 h prouver 1'origine et Tint6grit6 d'un message 
num6rique m, lequel message peut etre vide. Ce proc6d6 permet 
Tauthentification d*entite, Tauthentification de message ou la signature de 
message. 

l.lo Parannrnetires 

Le precede met en oeuvre un premier ensemble de nombres entiers, a savoir 
au moins deux facteurs premiers notes par p t p 2 p 3 ... Certains facteurs 
premiers peuvent apparaitre plusieurs fois. Le produit des facteurs premiers 
forme un module public n=p x . p 2 (. /? 3 ...). 

un jeu de « parametres des restes chinois » notes. X a X b X t .... II y a un 
parametre de moins que de facteurs premiers. 

Attention, il y a plusieurs jeux de parametres « equivalents. » Supposons 
que 

les grands nombres premiers sont ranges dans Fordre croissant, 

s'il y a trois nombres premiers, p 3 est plus petit que p l fois p v 

s'il y a quatre nombres premiers, p 4 est plus petit que p x fois p 2 fois p v 
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et ainsi de suite. 

Dans ce cas, voici un exemplede jeu de parametres des restes chinois. 

K - (Pl ( m °d <P\ IT 1 (mod/?]) 
h~((P\ P2 (mod ^))" 1 (mod p 3 ) 
K =((P\ P2'P3 (mod Pa)T 1 (mod p 4 ) 
Et ainsi de suite. 

Le proc&16 met en oeuvre un deuxifeme ensemble de nombres entiers, k 
savoir, au moins un exposant public de verification note par v, et, pour 
chaque exposant v, au moins une paire de cles selon la pr^sente invention 
comprenant une cle privee not6e par Q et une c\6 publique notee par G. Une 
des deux relations suivantes lie chaque paire de cl€s selon la pr6sente 
invention par des nombres v et n. 

G.Q V = 1 (mod n) oubien G = Q V (mod n) 
En 1' absence de*toute ambiguite, en particulier, s'il y a un seul exposant 
public de verification v, on utilise la notation (G, Q), puis, si besoin est, 
(GA, QA\ (GBQB) 9 (GC, CO, ... 

Avec plusieurs exposants publics de verification vjc vy vz on utilise en 
outre la notation (Gx, Qx) y (Gy, gy), puis, si besoins est, (GxA, QxA), 
(GxB, QxB\ ... (GyA,QyA) 9 (GyB, QyB\ ... 

En pratique, chaque cle privee Q n'est jamais utilisee telle quelle. 

On utilise uniquement un jeu de composantes Q % Q 2 Q 3 une 
composante par facteur premier. 

Q\=Q (mod p x ); Q 2 =Q (mod p 2 ); Q 3 =Q (mod p 3 ); 

et ainsi de suite. 

Par la methode des restes chinois, on pourrait retablir chaque c!6 privee Q h 
partir du jeu de composantes Q x Q x Q 3 En pratique^il n'y a jamais lieu 
de retablir les cl6s privies Q. 

Qa =Ql (modp^; ; 

Si Q!>q;, Q a =Q x -Q a \ Sinon, Q a =Q\+P\-Q a \ 
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Ql t 2 = K Qa (mod Pl ) ]p 2 + Q 2 ; 
0fc =2i,2 (mod/> 3 ); 
Si G 3 ^«2fr, Gfc=0 3 -Q*; Sinon, Q b =Q 3 + p 3 -Q b ; 

01,2,3 = ^ ^ (mod /7 3 ) .p 2 + Q l 2 ; 
Et ainsi de suite. Q est 6gal k Q\ t 2,3 $ ... 
1.1.1. Paiire de dies seloim la pireseMe Snnventioini c<o>rfeiraiinift unimo se(cunirfitt(§ 
eqmiSvaleinite a la comurnaSssairnce die la cle pirivee <Q> 

Les composantes Q t Q 2 Q 3 ... sont des nombres pris au hasard tels que 
0 < Q x <p v 0<Q 2 <p 2 , 0 < <g> 3 < p v ... II y a une composante par facteur 
premier. En pratique, pour reduire la charge de travail, on choisit des 
composantes Q g « courtes », c'est-&-dire, de Tordre de grandeur de la 
racine troisteme ou quatri&me du facteur premier p r 

Note, L' ensemble de ces composantes reprSsente une cl6 privee Q. La cle 

piriivee Q n 9 est jamaSs antnllsee telle (pelle. 

Qa =Ql (mod ; 
Si Q x >Q a , Q a =Qi-Q a ; Sinon, Q a =Q\+ P\~Q a \ 
Qh2 = K 42a (mod Pl ) }p 2 + 02 i 

Qb =01,2 (mod p 3 )\ 
Si Q 3 >Q b , Ql=Q 3 -Ql; Sinon, Q b = Q 3 + p 3 -Q b \ 

QlA3-tyb-Qb ( mod P3)\p\P2 + Q\x> 
Et ainsi de suite. Q est egal a <2i,2,3,„. 

La cle publique G est la puissance v ieme de Q (mod n) ou bien son inverse 
(mod n). 

G=Q V (mod n) ou bien G= {Q v (mod n)}- 1 (mod n) 

Note. En pratique, pour calculer le nombre G, on 61&ve chaque nombre Q. 
k la puissance v ieme (mod p.), ... , puis, on utilise la m6thode des restes 
chinois pour 6tablir le r6sultat (mod n) ou son inverse (mod n). 

Gy^Qi (mod^); 
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G 2 = Ql (mod p 2 ) ; G a = G 2 (mod Pl ); 
Si G,>G a , G^^-G^ Sinon, G^ = G 1 +p 1 -G a ; 
G l,2={V G a (mod Pi)\p 2 +G 2 ; G b =G 1>2 (mod%/? 3 ); 

G 3 = Q% (mod /> 3 ) 
Si G 3 >G b , Gl= G 3 - G^ ; Sinon , G b = G 3 + p 3 - G^ ; 

G U,3 -^ G i (mod P3))pi-P2+Gl f 2; 
Et ainsi de suite. G est 6gal k G 12 , 3f ... ou bien, & son inverse (mod n). 
Lorsque le nombre entier v est premier, on assure la propriety de s6curit6 
annoncee. 

1.1.2. Paire de cles selon la presente invention conferant une securite 
equivalente a la connaissance de la factorisation de n 

L'exposant publie-de v^rifielationHiK est-ggaM 2*: Le nombre entier k est un 
parametre de sdeurit^plusisg^and^qu r e»l . La valeurcJfc =1 esfcinterdite. 
Chaque. nombre -g ^est^un entier*4nfMeur^aui»plps- petit^fadteur premier. En 
outre, pour-au moins un facteur premier p y liquation x = g (mod p) n'a pas 
de solution en x dans^CG(p) et pour au moins un facteur q V equation x = 
—g (mod y) n'a pas*de solution enrx dans CG(^)^Cette construction assure 
que les deux equations x s g (mod ri) et x s -g (modn) n'ont pas de. 
solution en x dans Fanneau des entiers modulo w, c'est-k-dire que les 
nombres g et ~-g sont deux residus non quadratiques (mod ri). 
Note. En pratique, on utilise pour g les nombres 2, 3, 5, 6, ... en eliminant 
bien sflr les carres tels que 4, 9, ... 

Note. II n'est pas recommande d'utiliser 6 comme nombre de base en 
meme temps que 2 et 3 parce qu'ils se eombinent par multiplication. On dit 
qu'ils ne sont pas « inddpendants. » II vaut mieux utiliser 2 et 3 comme 
nombres de base et retrouver 6 comme le produit de 2 et 3. 

Pour chaque nombre g, la c\€ publique G est egale & g 2 . 
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Pour chaque nombre g 9 chaque composante Q 1 Q 2 Q 3 ... est la k i&me 
racine carree de G dans CG(p) qui est un residu quadratique dans CG(p). II 
y a une composante par facteur premier. 

Exemple de calcul de la k ieme racine carree quadratique de G dans CG(p) 
On pourra utilement consulter Pappendice 3, « Quadratic Residues », pp. 
278-288, dans Touvrage « Prime Numbers and Computer Methods for 
Factorization », Hans Riesel, Birkhauser, Boston, Basel, Stuttgart, 1985. 
Pour chaque facteur premier p congru k 3 (mod 4), on eleve k fois de rang 
G & la puissance (p+l)/4 pour obtenir la k ieme racine carree quadratique de 
G dans le corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour 
obtenir la composante Q t pour le facteur premier p r 

Note- Plutdt que d'extraire k racines carrees successivement, on peut 
proceder de maniere globale. 

x="(/i + l)/4; y = x k (modp-1); z = p-l-y; Q p =G z (mod p); 
par consequent, pdivise GQ p -1. 

ou bien, 

x = (p + l)/4; y = x k (modp-1); z = y\ Q p =G z (mod/?); 
par consequent, pdivise Q p —G. 
Pour chaque facteur premier p congru a 1 (mod 4), on utilise les suites de 
Lucas pour extraire les racines carrees successives, jusqu'a obtenir la k 
ieme racine carree de G dans le corps CG(p), avant d'inverser ou non le 
resultat (mod p) pour obtenir la composante Q. pour le facteur premier p r 

Par consequent, pdivise G.Q p -1 oubien, Q p -G. 
Les cles G et Q sont deux residus quadratiques (mod n). La paire de cles 
selon la presente invention verifie Tune des deux relations suivantes. 

k k 

G.Q 2 =1 (mod n) oubien, Q 2 =G (mod h) 

Par consequent, dans Tanneau des entiers modulo n, le k-\ ieme carre de 
chaque cle privee Q ou son inverse (mod n) est une racine carree non 
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triviale de la cle publique G = g 2 . Appelons q cette racine carree de G (mod 
n) qui n* est ni g ni -g. Par consequent, n qui divise q-g ne diyise ni q-g ni 
q+g. Ainsi, le module n se scinde en deux facteurs non triviaux : le pgcd de 
n et de q-g et le pgcd de n et de q+g. Par consequent, pouF-n'importe quelle 
cle privee Q, la connaissance de n'irnporte laquelle des k valeurs {Q, Q 2 9 
Q 4 , ... jusqu'au ieme carre de Q (mod n)} revfele une factorisation 
non triviale du module n. 

Contraintes induites par les nombres de base sur Ies facteurs premiers 

On peut utilement consulter le chapitre 3, « Quadratic Residues », pp. 35- 
46, dans Fouvrage « Introduction to Number Theory », Hua Loo Keng, 
Springer Verlag, Berlin, Heidelberg, 1982. 

❖ (2 [ /?) = +1 lorsque/; est Gongru->a ±l<mod 8). 
(2 | p)&-l locsque-/? est congsu^ ±3-(mod^8)i 

Po'ur^utiliser^g = 2, 'c'est-^-direHa cl6 publique G = 4,41 suffit qu'un 
facteur premier^soit-congrura ±3^(mod-8)S Alorsv ie nombre 2 est un 
residu non quadratique^modulo n. 

❖ (3 | p) ,= +1 lorsque p est«<Songj^L ±1 (mod 12). 
(3 I /?) = —! lorsque p est congru k ±5 (mod 12). 

Pour utiliser g = 3, c'est-k-dire, la cle publique G = 9, il suffit qu'un 
facteur premier soit congru a ±5 (mod 12). Alors, le nombre 3 est un 
residu non quadratique modulo n. 

❖ Le nombre g=A est un carre ; il n'est done pas utilise. 

❖ (5 I p) - +1 lorsque p est congru k ±1 (mod 5). 
(5 | p) = -1 lorsque /? est congru a ±2 (modw§). 

Pour utiliser g = 5, e'est-k-dire, la cle publique G = 25, il suffit qu'un 
facteur premier soit congru k ±2 (mod 5). Alorsr*le nombre 5 est un 
residu-non quadratique modulo n. 

❖ (6 I p) = +1 lorsque p est congru k ±1 ou ±5 (mod 24). 
(6 I p) = -1 lorsque p est congru k ±7 ou ±1 1 (mod 24). 
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Pour utiliser g = 6, c'est-a-dire, la cle publique G = 36, il suffit qu'un 

facteur premier soit congru a ±7 ou ±1 1 (mod 24). Alors, le nombre 6 

est un residu non quadratique modulo n. 
^ (7 I p) = +1 lorsque p est congru a ±1, ±3 ou ±9 (mod 28). 

(7 I p) - -1 lorsque p est congru a ±5, ±1 1 ou ±13 (mod 28). 

Pour utiliser g = 7, c'est-a-dire, la cle publique G = 49, il suffit qu'un 

facteur premier soit congru a ±2 (mod 5). Alors, le nombre 7 est un 

residu non quadratique modulo n. 
Note. Tous les temoins peuvent utiliser le meme jeu de cles publiques GA, 
GB 9 GC 9 GD, ... , par exemple, 4, 9, 25 et 49, moyennant des contraintes 
elementaires sur la selection des facteurs premiers. Ces contraintes sont 
pratiquement gratuites lorsqu'elles sont integr^es aux procedures de 
production des facteurs premiers. 
1<X3. Generalisation de fla stroctore precedenlte 

Le nombre a est un nombre impair. II doit diviser au moins un facteur 
premier moins un. 

Note. En pratique, on donne au nombre a les valeurs des nombres premiers 
a partir de 3, soit : 3, 5, 7, 1 1, ... 

L'exposant public de verification v est egal a a. Le nombre entier k est un 
parametre de securite plus grand que 1 . La valeur k = 1 est interdite. 
Chaque nombre g est un entier inferieur au plus petit facteur premier. En 
outre, pour au moins un facteur premier p tel que a divise r equation x a 
= g (mod p) n'a pas de racine en x dans CG(p). 

Note. Cette construction generalise les residus non quadratiques (mod n). 
Par exemple, dans le cas a = 3, on dit que le nombre g est un residu non 
cubique (mod n). Dans le cas general, on parle de residu non a dique (mod 
n). 

Note. En pratique, on donne au nombre g les valeurs 2, 3, 4, 5, ... en 
eliminant les puissances a iemes. 
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Pour chaque nombre g, la cl6 publique G est £gale a g°. 

Pour^chaque^nombre g, chaque eomposante Q x *" Q 2 Q y ... est la k feme 
racine a feme de G dans CG(p) qui est un residu a dique*danstCG(p). II y a 
une eomposante par facteur premier. 

Exemple de calcul de la k feme racine troisfeme de G dans CG(p) qui est un 
r6sidu cubique dans CG(p). 

Pour chaque facteur premier p congru a 2 (mod 3), on 61eve k fois de rang 
G a la puissance (/?-2)/3 P°ur obtenir la k ieme racine a ieme de G dans le 
corps CG(p) ; puis, on inverse ou non le resultat (mod p) pour obtenir la 
eomposante Q. pour le facteur premier p r 

Note, On-peut proceder de maniere globale pour acc^der directement au 
resultat eherehdi* 

x == (/> = 2)^3;>_= :*Ltmod«p^l-); :z = y; = (mod />); 

par* consequent* p divise^gp G. 
* = (/>-2)/3; ;y = x* (mod p-l); z - />-l- y; Q p =G Z (mod p); 
par consequent^/? diwsemGjQpL^r 1 • 
Pour chaque facteur premier p congru a 1 (mod 3), 

pdivise G.Qf -1 oubien -G. 

1.2. Entites 

Le procede met en oeuvre les trois entites suivantes. 

Une premiere entite temoigne ; e'est le temoin. II dispose d'un exposant 
public de verification v = 2*. En fonction des compromis retenus entre 
charge de travail et volume de donnees a stacker, le temoin stocke encore 
d'autres nombres : 

- ou bien lesy facteurs premiers p x p 2 p 2 ... et les / cles publiques GA 
GB ... ; a chaque appel, le temoin doit alors reconstituer les / cles 
privees QA QB . . . selon le parametre k a partir des / cl6s publiques 
GA GB . . . et des j facteurs premiers p x p 2 p 3 ... ; 



- ou bien, le module n et les 1 cles privees QA QB ... ; le t&noin ne fait 
alors appel ni aux facteurs premiers ni aux restes chinois ; 

- ou bien un ensemble de 7*.(/+2)-l nombres prives de tailles voisines 
pour utiliser les facteurs premiers et les restes chinois : 

- j facteurs premiers p t p 2 p 3 

- 7-I parametres des restes chinois X a X b 

- j.l composantes de cles privees : QA X QA 2 ... QB l QB 2 ... 
Une deuxieme entity pilote le temoin ; c'est le pnEofte. II dispose d'un 
certificat Cert(/d f n) liant le module n a une identite Id. II connait un 
message m. S'il s'agit d'une authentification dynamique, c'est-^-dire, d'une 
preuve interactive de connaissance, il est encore appele demoimsltiratteniiro En 
cas d'authentification d'entite, le demonstrateur n'a pratiquement rien k 
faire. En cas d' authentification de message, le demonstrateur dispose d'urae 
fonction de hachage ff. S'il s'agit d'une signature numerique de message, 
c'est-k-dire, d'une preuve non interactive de connaissance, le pilote est 
encore appele sSgnataSre ; le signataire dispose de Texposant public de 
verification v et d'une fonction de hachage IT. 

Une troisieme entite verifie ; c'est le conttroleiuir: Selon le cas, le controleur 
verifie T authentification ou la signature ; il dispose d'un module public N 
pour ouvrir les certificats afin d'etablir une identite Id et un module n, de 
Texposant public de verification v = 2*, des / cles publiques GA y GE y ... et 
de la fonction de hachage L 

Note. Chaque jeu de composantes Q x Q 2 Q 3 ... represente une cl€ priv6e 
Q. Chaque paire de cles selon la prSsente invention est li6e aux nombres v 
et n par Tune des deux relations suivantes. 

G.Q V =1 (mod n) oubien G = Q V (mod ri) 
En termes de charge de travail du temoin, la solution optimale consiste k 
utiliser les facteurs premiers, les parametres des restes chinois et les 
composantes des cles privees. Chaque cle priv6e Q est construite, puis, 
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stockee et utilis6e sous la forme de composantes, Q x Q 2 . . . une composante 
par facteur premier, />, p 2 ... Les cles privies Q n'apparaissent alors jamais 
et le temoin n'utilise pas non plus les cles publiques G. 
En termes de charge de travail du controleur, la solution optimale consiste k 
utiliser pour G une valeur qui soit la plus petite possible. Les valeurs sur un 
seul quartet ou un seul octet sont particuliferement conseillees. En pratique, 
on utilise pour ga gb ... les premiers nombres premiers : 2, 3, 5, 7, 11, .... 
Dans la presentation qui suit le temoin utilise les facteurs premiers et les 
restes chinois. Le t6moin peut s'en abstenir, ce qui affecte simplement et 
seulement les actions du temoin. Le protocole GQ2 d6roule les etapes 
suivantes permettant au contrSleur de verifier Torigine et Tint6grit6 d'un 
message in , *v 

- L'authentification dynamique est une preuve interactive. 

- La signature numerique- est une preuve non interactive. 
1.3. Etapes** 

Le proced6 comporte les 6tapes suivantes: 
Etape 1. Engagement du temoin 

• A chaque appel, pour chaque exposant public de verification vx vy vz 

le t6moin tire au hasard et en privd au moins un jeu de nombres entiers : 
pour chaque facteur premier p., chaque jeu comporte un nombre entier r. 
positif et plus petit que p.. Ces nombres entiers sont ensuite appeles les 
aleasr, r 2 r 3 ... 

0<r x < Pl ; 0<r 2 <p 2 V 0<r 3 <p 3 ; 

• Pour chaque exposant public de verification vx vy vz et pour chaque 
facteur premier p., le t6moin elfeve chaque al6a r. a la puissance v ibme (mod 

/?! = r{ (mod pj); R 2 s r 2 v (mod p 2 ); R 3 = r 3 v (mod p 3 ); ... 

• Puis, le temoin etablit chaque engagement R (mod n) selon la methode 
des restes chinois. 
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R a % =^2 (mod Pl ); 
Si R a "=Ri-R a '; Sinon, R a y Ri + p x -R a % \ 

*l,2 " (mod Pi)}p 2 +^2; ^ =^1,2 (mod p 3 ); 

Si i? 3 > R b7 R b = /? 3 -/?^; Sinon, R b = /? 3 + /> 3 - J^; 
*i A3 = ^ (mod p 3 )\p l .p 2 + i?i, 2 i 
Et ainsi de suite. R est 6gal & i? 12f 3 ... 
Pour chaque exposant public de verification vx vy vz il y a autant 
d'engagements^quedejeuxd'aleasr, r 2 r 3 ... 

Etape 2o Deffl aim ttemnioiim 
En cas d'authentification d*entit6, 

le demonstrateur transmet tout ou partie de chaque engagement R au 
contrdleur ; 

apres avoir re?u tout ou partie de chaque engagement R 9 le contrdleur 
produit au moins une sequence denombres de 0 k v-1 pris au hasard. 
En cas d'authentification de message, 

le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour obtenir un jeton 
T k transmettre au controleur, 
apres avoir requ le jeton T, le controleur produit au moins une sequence de 
nombres de 0 k v— 1 pris au hasard. 
En cas de signature numerique de message, le signataire applique une 
fonction de hachage IT ayant comme arguments le message m et chaque 
engagement R pour obtenir au moins une sequence de nombres de 0 k v— 1. 
Dans les trois cas, pour chaque exposant public de verification vx vy vz 
chaque sequence comporte autant de nombres de 0 k v— 1 qu'il y a de paires 
de cles selon la presente invention ; dans chaque sequence, les nombres 
sont notes par dA, dB 9 ... Chaque sequence de nombres de 0 k v-1 est 
ensuite appelee defi d. Pour chaque exposant public de verification vx vy 
vz il y a autant de defis d que d'engagements R. 
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Etape 3. Reponse du temoin au defi 

• Pour chaque exposant public de verification vjc vy vz pour chaque 
facteur premier /?, le t6moin calcule 

la puissance dA feme de la composante QA t (mod 
la puissance dB ieme de la composante QB. (mod p t ) 9 

le produit des resultats precedents par Palea r (mod p) ; 
A = r l .QAf A .QJSf B ... (mod Pl ); D 2 = r 2 .QA^ .QBf ... (mod p 2 ); 
D3 =r 3 .QA$ A .QBf ... (modp 3 ); 

• Puis, pour chaque exposant public de verification vx vy vz le temoin 
etablit au moins une r6ponse D (mod n) selon la m6thode des restes chinois. 

D a =D 2 (mod/?!); 
Si D } >D ai D a —D\— D Q ; Sinon, D a =D x +p x -D a \ 
_ D l2 =fy a .D a (mod ^ 1 ))p 2 +D 2 ; 
A> S A,2 (mod/> 3 ); 
Si D 3 >D b , D b =D 3 -D b v Sinon, = D 3 + p 3 -D*; 

A.2.3 ~W D b ( mod P3)}Pl-P2 + A,2; 

Et ainsi de suite. D est egal a 

Pour chaque exposant public de verification vx vy vz il y a autant de 
reponses D que de defis d. 

Note. Chaque appel au temoin se traduit a P interface par autant de triplets 
{R, d, D) que de jeux d'aleas r l r 2 r 3 ... Remarquons qu'en Levant la 
r6ponse D k la puissance v ieme (mod n), on doit retrouver P engagement R 
divise ou multiply selon P equation retenue pour Her les paires de cl6s 
selon la presente invention aux nombres v et n y par la puissance dA ieme de 
GA, la puissance dB ifeme de GB, ... Par consequent, chaque triplet {U, d, 
D} doit v6rifier Pune des deux relations suivantes. 

R^GA^.GB* 18 . ... D v (modn); 
ou bien R GA^ \GB dB \ ... = D v (mod n); 
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Eltape 4. Domiees desMimees sm controlemc 
En cas d'authentification d'entit6 ou de message, le demonstrateur transmet 
chaque reponse D au contrdleur. 

En cas de signature numerique de message, le signataire transmet un 
message sign£ au contrdleur. Le message sign6 comprend le message m, 
ainsi que : 

* chaque d6fi & ou chaque engagement R 9 

* chaque r6ponse D. 

Eltape So VeniiBcattn©ini exercee pair le conntrSlennir 
Noteo On aurait pu tester ici le symbole de Jacobi de chaque reponse, h 
condition d* avoir force le symbole de Falea k F6tape 1. Cependant, il vaut 
mieux « laisser tomber les symboles ». II est bien plus economique 
d' accepter de perdre un bit de d6fi. 

-Note. L'une des-deux_relations suivantes reconstruit un engagement note 
parR\ 



En cas d'authentification d' entity le controleur doit appliquer la formule 
approprtee pour reconstruire chaque engagement R' : aucun ne doit 6tre 
mil. Chaque engagement reconstruit R' doit reproduire 1' integrality des 
donnees transmises k Fetape 2, c*est-&-dire, tout ou partie de chaque 
engagement R. Lorsque toutes les conditions sont remplies, 
Fauthentification d'entit6 est r£ussie. 

En cas d'authentification de message, le contrdleur doit appliquer la 
formule appropriee pour reconstruire chaque engagement R 9 : aucun ne doit 
etre nul. Puis, il doit appliquer la fonction de hachage IT ayant comme 
arguments le message m et chaque engagement reconstruit R' pom: 
reconstruire le jeton T\ Le jeton reconstruit T* doit etre identique au jeton T 



R'={GA .GB . ...)B V (modw); 
ou bien R! = D V I (GA^.GB* 8 . ...) (mod n); 
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de T6tape 2. Lorsque toutes les conditions sont remplies, Fauthentification 

de m€ss^gt r t^^^S0 f 

En cas de signature num^rique de message, selon le cas, 

• le contr61eur doit appliquer la formule appropriee *pour reconstruire 
chaque engagement R 9 : aucun ne doit etre nul. Puis, il doit appliquer 
la fonction de hachage f ayant comme arguments le message m et 
chaque engagement reconstruit R 9 pour reconstruire chaque d6fi d\ 
Chaque d6fi reconstruit d' doit etre identique au d6fi d figurant dans 
le message sign6. Lorsque toutes les conditions sont remplies, la 
signature est correcte. 

• le contrSleur doit appliquer la fonction de hachage f ayant comme 
arguments 4e^message T m et chaque engagement R figurant dans le 
message .signe pour reconstruire chaque defi % d\ Puis, il doit 
appliquer*rvla ^formule appropri6e pour controler la coherence de 
chaque triplet {/?, d\ D}. Chaque triplet doit etre coherent. Lorsque 
toutes les conditions sont remplies, la signature numerique est 
correcte. 

2. Triplets 

Chaque appel au temoin se traduit par une collection de triplets k V interface 
du temoin. Chaque triplet {/?, d 9 D} comprend un engagement R, un defi d 
et une reponse D. II y a deux mani&res de produire des triplets : une 
maniere de produire en prive et une mani&re de produire en public. 

• Le temoin produit en prive selon la chronologie suivante : k chaque 
appel, il fixe d'abord un nouveau jeu d'al6as qu'il transforme en un 
engagement /?, puis, il produit la reponse D a n'importe quel defi d 
deO&v-l. 

• N'importe qui peut produire en public selon la chronologie suivante : 
quel que soit le d6fi d de 0 k v-1, n'importe qui peut completer le 
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triplet k partir de n'importe quelle reponse D en 6tablissant 
T engagement R grace aux nombres publics G, v et n. 
3. TenaiMes 

Par definition, deux triplets sont « en tenaille » lorsqu'ils sont constitu6s 
des deux r£ponses D et E k deux defis d et e pour le merne engagement R 9 
c'est-k-dire, {R, d, D] et {R, E}. 

A chaque appel, le temoin est en position de produire des triplets en 
tenaille : il lui suffirait de reutiliser un jeu d'aleas. Mais il se garde bien des 
tenailles : en tirant au hasard un jeu d'aleas k chaque appel, il utilise en 
pratique chaque fois un nouveau jeu d'ateas. 

3.1. Paiire die dies selona la presennte imiveiniltnoini comilTerainitt une seomtlxl 
equnSvaleinilte a Ha coiroiniaassaMce die la cle pirivee Q 

La connaissance de deux triplets « en tenaille » equivaut a la connaissance 
de la cle priv6e Q. 

BeinnionBsiratt5(D>inic 

D'une part, le temoin se configure a partir des facteurs premiers p y p 2 p 3 
de la c\6 privee Q et de l'exposant public de verification v. Une fois 
configure, le temoin peut produire une tenaille : il lui suffit d'utiliser deux 
fois le m§me jeu d'aleas. 

D' autre part, deux triplets en tenaille se traduisent par les equations 
suivantes : 

D he r.Q d (mod n) et E = r.Q e (mod ri) avec 0 < d < e < v 
Par consequent, EID = Q e ~ d (mod n), avec 0<e-d<v 
Voyons comment calculer la cle privee Q a partir du rapport E/D* lequel 
vaut (mod n), c*est-&-dire Tune des v— 1 valeurs {Q, Q 2 , Q 2 , ... Q v - 
(mod n)}, sachant que Q v (mod n) est la cle publique G ou son inverse 
modulo n. 

La solution fait appel a T identity de Bezout. Par definition, les coefficients 
de Bezout de v et de e-d sont les deux entiers k et / v6rifiant les relations 
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suivantes; Palgorithme de division d'Euclide permet de les calculer 
efficacement. 

0<k<e-d; 0 < / < v; k.v- l.(e -</) = ±pgcd(e^d 9 v) 
Dans le cas present, v est premier et done pgcd(e-rf, v) = 1. Ce qui donne 
Pidentit6 : 

Q L V -lXe-d) ^ Q ±l (mod n) 

C'est-a-dire, (Q v ) k l(Q e ~ d ) 1 = Q ±l (mod n) 

• Lorsque G = 0 V (mod n) estutilis^e, G k /(E/D) 1 (modn) vaut 

Q (mod n) ou son inverse modulo n. 

• Lorsque GQ V = 1 (mod ri) est utilis6e, G k .{EID) 1 (modn) vaut 

Q (mod n) ou son inverse modulo n. 
3.2. Jeux de eles selon la presente invention conferant une security 
equivalente a la connaissance de4a factorisation de n 
Les nombres GQ2 sont des*produits de 7+1 facteurs premiers distincts 
congrus k 3 (mod 4) avec la contrainte suivante : pour chacun de / petits 
nombres distincts, appetes nombres de base et notes par ga, gb, ainsi 
que pour chacune de leurs combinaisons multiplicatives ga.gb, soit en 
tout 2-1 nombres representes de fa9on generique par g> les deux Equations 
x = g (mod n) et x = -g (mod n) n'ont pas de solution en jc dans Panneau 
des entiers modulo n. On dit alors que les nombres g et -g sont deux residus 
non quadratiques modulo n. 

Note. « Petit » signifie plus petit que le plus petit des facteurs premiers. De 
preference, les nombres de base sont les / premiers nombres premiers ga = 
2, gb = 3, ... 

Les plus simples des nombres GQ2 sont les nombres de Williams avec un 
seul nombre de base ga = 2 et deux facteurs premiers, Tun congru & 3 (mod 
8) et P autre h 7 (mod 8). 

Rappelons que pour chaque nombre g qui n'est pas un carr6, chaque 
nombre premier congru & 3 (mod 4) et plus grand que g se classe dans Pune 
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des deux categories suivantes : 

- la categorie oh g est un residu non quadratique (et done -g un 
residu quadratique), 

- la categorie ou — g est un residu non quadratique (et done g un 
residu quadratique). 

Definition. Deux facteurs premiers sont eqeivalentts ou complemeinittainres 
au regard d'un nombre g selon qu'ils appartiennent ou pas & la meme 
categorie au regard du nombre g. 

Definition. Au regard de chaque nombre g, le pirolFM die j ffactenrs est defini 
par une sequence de / bits en attribuant le symbole 1 au premier facteur 
ainsi que a tous les facteurs qui lui sont equivalents, c'est-&-dire qui ont le 
meme symbole de Legendre, et le symbole 0 a tous les facteurs qui lui sont 
complementaires, e'est-a-dire, qui ont r autre symbole de Legendre. 
Pour obtenir le profil au regard du produit de plusieurs nombres de base ga, 
gb, on calcule le produit des symboles de Legendre, puis, on code le 
profil resultant en attribuant le symbole 1 au premier facteur ainsi que a 
tous les facteurs qui lui sont equivalents, e'est-a-dire, qui ont le meme 
symbole de Legendre, et le symbole 0 a tous les facteurs complementaires, 
e'est-a-dire, qui ont T autre symbole de Legendre. 

Pour pouvoir comparer des profils, il faut ranger les facteurs dans le meme 
ordre, par exemple, dans l'ordre croissant. 

3.2.1. Methode systematique de construction des nombres GQ2 
Voyons comment construire les nombres GQ2 de maniere systematique, de 
fa$on k pouvoir integrer simplement la methode de construction dans un 
generateur de modules n. 

Le premier facteur doit simplement etre congru a 3 (mod 4). On notera 
toutefois son symbole de Legendre par rapport aux / nombres de base ga, 
gb % ... 

Le deuxieme facteur doit etre complementaire au regard du premier nombre 
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de base ga. Par exemple, lorsque ga = 2, un facteur doit Stre congra k 3 
(mod 8) et Fautre k 7 (mod 8) : c'est un nombre de Williams. Par exemple 
encore, lorsque ga = 3, un facteur doit Stre congru k 1 (mod 3) et Tautre k 2 
(mod 3), sachant qu'ils sont bien sur tous deux congrus k 3 (mod 4). On 
notera egalement le symbole de Legendre du deuxifeme facteur par rapport 
aux / nombres de base ga 9 gb, ... et on commencera k etablir les 2-1 
profils. 

Le troisieme facteur doit prendre en compte le deuxieme nombre de base gb 
(par exemple, gb = 3 apres ga = 2). Deux cas se presentent, selon que les 
deux premiers facteurs premiers sont equivalents ou complementaires au 
regard du nombre gb. 

- Lorsque les deux premiers facteurs premiers sont 6quivalents au 
regard du nombre gb, le nouveau facteur doit etre 
complementaire au regard du nombre gb. 

- S'ils sont complementaires, alors par rapport au premier facteur, 
le nouveau facteur doit etre equivalent au regard de Tun des deux 
nombres ga ou gb et complementaire au regard de Tautre. 

On notera encore le symbole de Legendre du troisieme facteur par rapport 
aux / nombres de base ga, gb, ... et on commencera a etablir les 2-1 
profils. Ainsi, avec trois facteurs, pour les deux nombres de base, il y a trois 
profils possibles : 100, 110 et 101. La construction assure un profil different 
pour chacun des trois nombres ga, gb et ga fois gb. 

Le quatrieme facteur doit prendre en compte le troisieme nombre de base 
gc (par exemple, gc = 5 apr&s gb = 3 et ga = 2). Deux cas se presentent, 
selon que les trois premiers facteurs sont equivalents ou pas au regard du 
nombre gc. 

- Lorsque les trois premiers facteurs premiers sont equivalents au 
regard du nombre gc, le nouveau facteur doit §tre 
complementaire au regard du nombre gc. 



96 



- S'ils ne sont pas equivalents, ils reproduisent le profil de Tun des 
trois nombres ga, gb ou ga fois gb (par exemple, 2, 3 ou 6), soit g 
ce nombre. Par rapport au premier facteur, le nouveau facteur 
doit etre equivalent au regard de Tun des deux nombres g ou gc 
et complementaire au regard de V autre. 

On notera encore le symbole de Legendre du quatrieme facteur par rapport 
aux / nombres de base ga, gb, ... et on continuera a etablir les 2-1 profils. 
Ainsi, avec quatre facteurs premiers, pour trois nombres de base, il y a sept 
profils possibles: 1000, 1100, 1010, 1001, 1110, 1101 et 1011. La 
construction assure un profil different pour chacun des sept nombres 
suivants : les trois nombres de base : ga, gb, gc et leurs quatre 
combinaisons multiplicatives ga.gb, ga.gc, gb.gc et ga.gb.gc. 
Ensuite, la procedure se generalise aisement de la maniere suivante. 
Lorsque j facteurs sont deja construits, ley+1 ieme facteur doit prendre en 
compte un j ieme nombre de base ; appelons g ' ce nombre, par exemple, le 
j ieme nombre premier apres les j-l premiers nombres premiers. Deux cas 
se presentent, selon que les j premiers facteurs sont equivalents ou pas au 
regard du nombre g\ 

Lorsque les j premiers facteurs premiers sont equivalents au 
regard du nombre g', le nouveau facteur doit etre complementaire 
au regard du nombre g 

- S'ils ne sont pas equivalents, ils reproduisent le profil de Tun des 
7-1 nombres ga, gb, ... ou de Tune de leurs combinaisons 
multiplicatives ga fois gb, ... ; appelons g ce nombre. Par rapport 
au premier facteur, le nouveau facteur doit etre equivalent au 
regard de Tun des deux nombres g ou g' et complementaire au 
regard de T autre. 

On notera encore le symbole de Legendre du j+l ieme facteur par rapport 
aux / nombres de base ga, gb, ... et on continuera k etablir les 2-1 profils. 
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3.2.2. Utilisation cryptographique des nombres GQ2 

Voici deux motifs d'int6r£t cryptographique pour les nombres GQ2. 

- Produire des paires de cles pour des sch6mas de signature 
numerique qui etendent Fusage de Fexposant 2 k des modules n 
ayant plus de deux facteurs premiers. 

- Produire des jeux de cles pour des schemas GQ2 
d'authentification dynamique ou de signature numerique. 

3.2.2.1 Dans 1'annexe A de ISO/CEI 9796, extension de Fusage des 
exposants pairs a des modules ayant plus de deux facteurs premiers, 
chaque facteur etant congru a 3 (mod 4). 

=> Pour eviter de divulguer la factorisation du module n en appliquant la 
fonction privee de signature a un argument, c'est-a-dire, en calculant une 
racine carree (mod n), il faut egaliser les symboles de Legendre de 
T argument par rapport a l'ensemble des facteurs premiers du module n. 
Cette egalisation se fait en divisant par un « egaliseur » approprie. A la 
verification, il faut decoder le resultat, c'est-a-dire, d^duire la valeur de 
1' egaliseur mis en oeuvre a la signature. 

II faut d'abord choisir et normaliser un ou plusieurs petits nombres. Ces 
nombres sont de preference les / premiers nombres premiers. Nous les 
nommerons les egaliseurs de base et les noterons par gb ... Les / 
egaliseurs de base completes par leurs combinaisons multiplicatives, soit 
2-1 nombres en tout, constituent Tensemble des egaliseurs. Voyons 
comment utiliser les egaliseurs. 

• Deux facteurs — On choisit d'abord un egaliseur de base ga (par 
exemple, ga = 2 ; on pourrait aussi bien prendre 3, 5 ou 7 ...). Puis, on 
choisit deux facteurs premiers complementaires au regard de Tegaliseur 
ga (par exemple, lorsque ga = 2, un facteur est congru a 3 (mod 8) et 
Tautre a 7 (mod 8)). Lorsqu'un argument est soumis k la fonction privee 
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de signature, on calcule le symbole de Jacobi de F argument par rapport 
au module n. S'il vaut +1, on garde Fargument tel quel. SMI vaut -1, on 
remplace Fargument par Fargument divise par Fegaliseur ga pour 
mettre le symbole de Jacobi k +1 ; suite a cette operation, le symbole de 
Jacobi de Fargument vaut +1, c'est-a-dire que les symboles de Legendre 
de Fargument sont alors tous les deux egaux a -1 ou bien tous les deux 
egaux a +1. Cette methode figure dans F annexe A de la norme ISO/CEI 
9796. 

Trois facteurs — On choisit d'abord deux egaliseurs de base, par 
exemple, ga = 2 et gb = 3. Puis, on choisit les trois facteurs premiers de 
sorte que ga = 2, gb = 3 et ga.gb = 6 soient tous les trois des residus non 
quadratiques (mod n). Lorsque les trois symboles de Legendre de 
Fargument sont inegaux, on les egalise en divisant Fargument selon le 
cas par ga = 2, gb = 3 ou ga.gb = 6, c'est-a-dire, par Fegaliseur qui 
presente le meme profil que F argument. 

Quatre facteurs — On choisit d'abord trois egaliseurs de base, par 
exemple, ga = 2, gb = 3 et gc = 5. Puis, on choisit les quatre facteurs 
premiers de sorte que les sept nombres 2, 3, 5, 6, 10, 15 et 30 soient des 
residus non quadratiques (mod n). Lorsque les quatre symboles de 
Legendre de F argument sont inegaux, on les egalise en divisant 
Fargument par Fegaliseur approprie : 2, 3, 5, 6, 10, 15 ou 30, c'est-a- 
dire, celui qui presente le m§me profil que Fargument. 
Cinq facteurs — On choisit d'abord quatre egaliseurs de base, par 
exemple, ga = 2, gb = 3, gc = 5 et gd = 7. Puis, on choisit les cinq 
facteurs premiers de sorte que les quinze nombres 2, 3, 5, 6, 7, 10, 14, 
15, 21, 30, 35, 42, 70, 105, 210 soient des residus non quadratiques 
(mod n). Lorsque les symboles de Fargument sont inegaux, on les 
6galise en divisant Fargument par Fegaliseur approprte : 2, 3, 5, 6, 7, 
10, 14, 15, 21, 30, 35, 42, 70, 105, 210, c'est-a-dire celui qui a le mSme 



99 



profil que F argument. 

• Et ainsi de suite. 

3.2.2.2. GQ2 - Le module est le produit de facteurs premiers congrus 
a 3 (mod 4). 

=> La propriete a assurer est que toute paire de triplets GQ2 en tenaille 
revile une factorisation non triviale du module. 

II faut d'abord choisir un ou plusieurs petits nombres. Ce sont de preference 
les / premiers nombres premiers. Nous les appellerons les racines triviales 
de base et les noterons par ga, gb, gc ... Les / racines triviales de base 
compl6tees par leurs combinaisons multiplicatives, soit, en tout, 2—1 
nombres, constituent F ensemble des racines triviales. 

• Deux facteurs — II faut d'abord selectionner une seule racine triviale de 
base ga (par exemple, ga = 2 ; on pourrait aussi bien prendre 3, 5 ou 7 
...). II faut ensuite choisir les deux facteurs de sorte que la racine triviale 
ga soit un residu non quadratique (mod n) 9 c'est-&-dire que les facteurs 
soient « complementaires » au regard de la racine triviale ga. 

• Trois facteurs — II faut d'abord selectionner deux racines triviales de 
base, par exemple, ga = 2 et gb = 3. II faut ensuite choisir les trois 
facteurs de sorte que les trois (2 puissance 2 moins 1) racines triviales 
ga gb et ga.gb, par exemple, 2, 3 et 6, soient des residus non 
quadratiques (mod n). 

• Quatre facteurs — II faut d'abord selectionner trois racines triviales de 
base, par exemple, ga = 2, gb = 3 et gc = 5. II faut choisir ensuite les 
quatre facteurs premiers de sorte que les nombres 2, 3 et 5, ainsi que 
leurs combinaisons multiplicatives, c'est-k-dire, 6, 10, 15 et 30, soient 
tous les sept (2 puissance 3 moins 1) des residus non quadratiques (mod 
n). Ces sept nombres sont les racines triviales. 

• Cinq facteurs — II faut d'abord selectionner quatre racines triviales de 
base, par exemple, ga = 2, gb = 3, gc = 5 et gd = 7. II faut choisir 
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ensuite les cinq facteurs premiers de sorte que les nombres 2, 3, 5 et 7, 
ainsi que leurs combinaisons multiplicatives, c'est-^-dire, 6, 10, 14, 15, 
21, 30, 35, 42, 70, 105 et 210, soient tous les quinze (2 puissance 4 
moins 1) des residus non quadratiques (mod ri). Ces quinze nombres 
sont les racines triviales. 
o Et ainsi de suite. 

Dans les m6canismes GQ2 d'authentification dynamique et de signature 
num&ique, toute pake de triplets GQ2 en tenaille rev&le une des k valeurs 
{Qy Q 2 , Q*> jusqu'au fc-1 feme carr6 de Q (mod ri)} oil Q est une des 2 l ' x 
combinaisons multiplicatives des / cl6s priv6es de base QA 9 QJB 9 ... Ceci 
revient h connaitre le £-1 ieme carr6 d'un nombre Q (mod ri) ; ce nombre 
ou son inverse (mod ri) est une racine carree (mod ri) de la combinaison 
correspondante des cles publiques, combinaison que nous notons par G = 
g 2 . Nommons q ce nombre. 

La mise en ceuvre de nombres GQ2, c'est-&-dire, de modules n construits 
selon la methode precedenies h partir de /+1 facteurs premiers et de / 
racines de base ga gb assurent que, pour toute paire de triplets en 
tenaille, le nombre q obtenu ci-dessus est une racine carr6e non triviale de 
G-g dans Tanneau des entiers modulo n. Le module n divise q 2 -g 2 > alors 
qu'il ne divise ni q-g ni q+g. Ainsi, avec des nombres GQ2, toute paire de 
triplets GQ2 en tenaille r6vele une factorisation non triviale du module n. 
Sur Fensemble des paires de triplets en tenaille, toutes les factorisations 
non triviales sont possibles : la factorisation est d6terminee par le profil du 
nombre g concern6 : d'une cot6, tous les facteurs premiers equivalents au 
premier facteur premier, de F autre tous les autres facteurs premiers, c'est-&- 
dire, ceux qui sont compl&nentaires au premier facteur premier. 
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4. Securite du nouveau procede 

D'une maniere generate, la securite des protocoles « sans transfert de 
connaissance » s' analyse selon trois -notions de base definies dans 1* article 
de base de Shafi Goldwasser, Silvio Micali et Charles Rackoff. 
Dans le cas qui nous int6resse, une entity proclame : « — Void un module 
n, un exposant de verification v et une cle publique G ; j' utilise la 
factorisation de n et je connais la cle privee Q. » 

Par definition, lorsque T entity connait les facteurs premiers, c'est un 
temoin. A chaque appel, le t6moin produit de maniere priv6e un triplet que 
le contrdleur accepte. Par consequent, la procedure est complete . 
Par definition, lorsque Tentite ne connait pas les facteurs premiers, c'est un 
tricheur. A chaque appel, le tricheur a une chance sur v de deviner le d£fi d 
(si les v defis sont €quiprobables) ; il peut done anticiper un d6fi, n'importe 
-lequel, et ainsi tromper le controleur ; s'il pouvait anticiper un deuxifeme 
defi aprfes avoir produit Tengagement, il connaitrait une paire de triplets en 
tenaille, ce qui contredit la definition du tricheur. Par consequent, la 
procedure est robuste . 

Note. La presente version fait fi du symbole de Jacobi ; le prix a payer est 
la perte d'un bit de defi par paire de c\6s selon la presente invention. Le 
procede ne marche pas pour k = 1 ; le tricheur a une strategie gagnante 
totale. A partir de k = 2, le tricheur n'a plus qu*une strategie gagnante 
partielle : il peut anticiper deux defis mais pas trois. 

Quelle que soit la mani&re dont se comporte le monde ext6rieur, il re?oit 
seulement T information que le t6moin connait les facteurs premiers. Plus 
pr6cis6ment, quelle que soit T information 6mise par le t£moin, n'importe 
qui aurait pu la constituer sans interaction avec le t6moin ; n'importe qui 
peut simuler les transmissions et produire un enregistrement qui reproduit 
les caracteristiques statistiques des informations recueillies lors d'une 
interaction avec le temoin. Durant 1' interaction, un observateur ne peut pas 
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distinguer un honnete temoin (Tun faux temoin utilisant une liste de defis 
convenue k l'avance. Apres 1' interaction, un juge ne peut pas distinguer les 
deux types d'enregistrements. En effet, on ne peut pas distinguer un 
enregistrement de triplets produits de mani&re publique et un 
enregistrement de triplets produits de maniere priv6e. Par consequent, la 
procedure utilis^e par le temoin ne laisse filtrer aucune information sur la 
valeur des facteurs premiers . 

L'entite qui prouve pilote toujours le meme temoin fonctionnant toujours de 
la meme manfere : le temoin utilise les facteurs premiers et la cl6 priv6e Q 
sans les revfiler ; le temoin assure la protection des facteurs premiers et de 
la c\€ priv6e Q. Le contr61eur v6rifie la c\6 priv6e Q sans en prendre 
connaissance. La procedure se d6roule « sans transfert de connaissance ». 
Certaines paires de cles selon la presente invention sont telles que la 
connaissance de la cl6 privee Q implique la connaissance de la factorisation 
du module n. Avec le nouveau procede, la factorisation et la cl6 priv6e Q ne 
s'usent pas, meme quand on s*en sert. 
So Perfonnmamces du imoiuiveae proced<§ avec v = 2* 

Dans cette evaluation, on fait l'hypothese que la valeur de G est petite, par 
exemple, G = 4. La charge de travail du temoin et la charge de travail du 
controleur dependent du niveau de securite recherche, c'est-^-dire du 
produit de deux nombres : le nombre j de triplets produits a chaque appel au 
temoin et la valeur donnee au parametre de securite k moins un (en effet, on 
perd un bit de d£fi en laissant tomber le symbole de Jacobi). 
Pour une authentification avec j.(k-l) =16 avec j = 1, 

le temoin doit effectuer 17 carr6s pour calculer T engagement R y puis, en 

moyenne 16 carr6s et 8 multiplications plus une multiplication pour 

calculer la rdponse £>, soit 41 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 20 

operations (mod n) ; . 
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cette charge est divisee par trois avec trois facteurs premiers, soit 
environ 14 operations (mod n) ; 

et ainsi de suite, 
le contrdleur doit effectuer 17 carres (mod n). 
Pour une signature avec^.^-l) = 80 avee j = 1, 
le t6moin doit effectuer 81 carres pour calculer T engagement /?, puis, en 
moyenne 80 carres et 40 multiplications plus une multiplication pour 
calculer la rSponse D, soit 202 operations (mod n) ; 

cette charge est divisee par deux avec deux facteurs premiers, soit 100 
operations (mod n) ; 

cette charge est divisee par trois avec trois facteurs premiers, soit 67 
operati0ns«(»mod^n) ^ 
et ainsi de*suite** 
le contrSleu^doitrof^tuer?^^ 
Remarque^ Pour une*valeur doiin6e#du*niveau de >s6curit6 j.k, le choix j = 
1 ne change pratiquement pas la charge de -travail du temoin, ni celle du 
controleur ; elle>minimise toutefois-le nombre de triplets produits, c'est-k- 
dire, la charge de transmission pour mener a bien l'operation, que cette 
operation soit une authentification ou une signature. 

Utilisons plusieurs paires de cles selon la presente invention, toutes avec le 
meme exposant public de verification v. Cela fait apparaitre un niveau de 
securite j.(k—l)J oh I est le nombre de paires de cles selon la presente 
invention. Le fait d'utiliser plusieurs paires de cl6s selon la presente 
invention diminue la eharge de travail du temoin, ainsi que-4a charge de 
travail du contrdlemv 

Dans le tableau ci-dessous, M repr6sente une multiplication (mod ri) et X 
un carr6 (mod n). Rapgelons que : sur le composant ST 16601 pour carte k 
puce, avec une horloge normalisee k 3,579545 MHz, le carr6 modulo pour 
512 bits se fait en 150 ms et la multiplication modulo en 200 ms. 
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(k-l).l = 16 


1=1 


1 = 2 


1 = 4 


Z = 8 


/= 16 


Engagement 


17 X 


9X 


5X 


3X 


2X 


R6ponse 


1 M + 


1 M + 


1M + 4X+ 


1 M + 


1 M + 




16 X + 


8X + 


8M 


2X + 


1 X + 




8M 


8X 




8M 


8M 


Total du 


33 X + 


17 X + 


9X + 


5 X + 


3X + 


t£moin 


9M 


9M 


9M 


9M 


9M 


Trois 


11 X + 


6X + 


3X + 


2X + 


1 X + 


facteurs 


3M 


3M 


3M 


3M 


3M 


Verification 


17 X 


9X 


SX 


3X 


2X 



Le compromis pour / = 4 est txbs attrayant parce que, compte tenu des restes 
chinois avec un module & trois facteurs premiers, le terminal et la carte ont 
& peu pres la meme charge de travail. II est preconise d'utiliser les cl6s 
publiques GA = 4, GB = 9, GC = 25, GD = 49. 
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Revendications 

1. Proc6de pour-diminuer la charge de travail pendant une session 
destin6e a prouver k un contrdieur, 

- T authenticity d'une entity et/ou 

- 1'origine et 1* integrity d'un message m, 
ledit procdd6 met en ceuvre trois entites : 

- une premiere entity appe!6e t6moin dispose des facteurs premiers 
p,, p 2 , ... (p, , ...) (i etant sup^rieur ou 6gal k 2) d'un module public n tel 
quen = p,.p 2 . p 3 . ... , 

ledit temoin dispose aussi 

* des composantes QA t , QA 2 , ... (QA,, ...), et QB„ QB 2 , ... (QB,, 
...), repr^sentant^des cl6s^priv6es%QA, QB^... 

* des cl6s^ publiques^G A, GB? . . . ay ant respecti vement pour 
- composantes GA^SA^... (GA V , ...) et GB^QB^. (GB,» ...) 

* des exposants publics de^verifidation vx * vy , ... 

lesdites cles priv6es~et cles publiques etant li£es par des relations du type : 

GA.QA- mod nnl ou GA s QA'mod n 
lesdits exposants publics de verification vx, vy, ... 6tant utilises par le 
tdmoin pour calculer des engagements R en effectuant des operations du 
type : 

R l = r i "mod p, 

oh r t est un entier, associe au nombre premier p., tel que 0 < r, < p, , chaque 
r, appartenant k une collection d'ateas {r t , r 2 , r 3 , ...}, 

le t6moin tire au hasard une ou plusieurs collections d'aldas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d' engagements R que de collections d'al6as {r p r 2 , r 3 , ... }, 

- une deuxi&me entity pilote dudit temoin 

* appelfie d^monstrateur dans le cas de la preuye de P authenticity 
d'une entity ou de 1* authenticity d'un message, 
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* appelee signataire dans les cas de la preuve de Torigine et de 
rint6grite d'un message, 

- une troisieme entity appel6e controleur verifie Tauthentification ou 
l'origine et I'integrite d'un message, 

ledit temoin re9oit de la deuxieme entite ou du contr61eur un ou plusieurs 
defis d tel que 0 < dl < vx - 1 et calcule a partir de ce defi une ou plusieurs 
reponses B en effectuant des operations du type : 

B, = ir\ . QA i dA .QB^o ... modi p, 
oil r. est un alea tel que 0 < r. < p t 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer 
pour calculer chacune des reponses B, pour chacun des p, est reduit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n, 
ledit contrdleur recevant une ou plusieurs reponses B calcule a partir 
-desdites reponses des engagements W en effectuant des operations du 
type : 

R*= GA dA . GB dB o ...B v modn 

ou du type : 

R'.GA^.GB". o.o=D v mod bh 
ledit controleur verifie que les triplets {R% d, B} sont coherents. 

2. ProcedS pour diminuer la charge de travail pendant une session 
destinee a prouver a un controleur, 

- 1' authenticity d'une entit6 et/ou 

- l'origine et I'integrite d'un message m, 
ledit procede met en ceuvre trois entites : 

- une premiere entite appelee temoin dispose des facteurs premiers 
p,, p 2 , ... (p., ...) (i etant superieur ou egal a 2) d'un module public m tel 
quemi = p 1 .p 2 . p 3 . 000 , 

ledit temoin dispose aussi 

* des composantes QA l9 QA 2 , ... (QA. 9 ...), et QB 1? QB 2? ... (<Q>B i? 
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...), .... repr6sentant des cl6s privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB r , ...) 

* d'un exposant public de verification v 

lesdites paires de cl6s privees et publiques etant liees par des relations du 
type : 

GA.QA" mod n = 1 ou GA = QA v mod n 

ledit exposant public de verification v etant utilise par le temoin pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R, = r, T mod p, 

oil r, est un entier, tir6 au hasard, associ6 au nombre premier p,, tel que 0 < 
r, < p, , chaque r, appartenant a une collection d'aleas {r„ r a , r 3 , ...}, 

• puis en appliquant la mdthode des restes chinois, 

le temoin tire au hasard une ou plusieurs collections d'aleas de telle sorte 
qu'il y a autant d'engagements R que de collections d'aleas {r p r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
pour calculer chacun des R, pour chacun des p, est reduit par rapport a ce 
qu'il serait si les operations etaient effectu6es modulo n, 

- une deuxieme entite pilote dudit temoin, 

* appelee demonstrates dans le cas de la preuve de l'authenticit6 
d'une entite ou de l'authenticitS d'un message, 

* appelee signataire dans les cas de la preuve de Torigine et de 
F int6grite d' un message, 

- une troisieme entite appelee controleur v^rifie Fauthentification ou 
Forigine et Fint6grite d'un message, 

ledit t6moin re9oit de la deuxieme entite ou du contrdleur, des collections 
de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections 
de deTis d 6tant egal au nombre d'engagements R, chaque collection {dA, 
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dB, ...} comprenant un nombre de defis egal au nombre de paires de cl6s, 
ledit temoin calcule a partir de chacune desdites collections de d6fis {&A 9 
dB 9 ...} des reponses D 
o en effectuant des operations du type : 

D. = r,. QA. . QB. ** . ... mod p. 
o puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d'engagements R et de 
defis d, 

de sorte que le nombre d'operations arithmetiques modulo p § k effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport k ce 
qu'il serai t si les operations etaient effectuees modulo n 
ledit contrdleur recevant une reponse D calcule a partir de cette r6ponse un 
engagement R 9 en effectuant des operations du type : 

R 9 = GA dA o GB **, ... ED V mod mi 

ou du type : 

R'oGA dA o GIB 000 =B V mod n 
ledit controleur verifie que les triplets {R% d 9 D} sont coherents. 

3. Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee k prouver a un controleur Tauthenticite 
d'une entite ; 

ledit procede met en ceuvre trois entites : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
p l5 p 2 , .00 (p., ...) (i etant superieur ou egal k 2) d'un module public n tel 
que n = p,.p 2 . p 3 o ... , 
ledit temoin dispose aussi 

* des composantes QA l9 QA 2 , ... (QA,, ...), et QB l? QB 2 , ... (QB |f 
representant des cles priv6es QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA i5 ...) et GB 1? GB 2 , ... (GB,, ..„) 
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* d'un exposant public de verification v 
lesdites paires de cles privees et publiques etant Ii6es par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA V mod n 

2 - une deuxieme entite pilote dudit temoin appetee demonstrateur 

3 - une troisieme entite appelee contrSleur verifie Fauthentification, 
pour prouver l'authenticite d'une entite, ledit temoin, ledit d6monstrateur 
et ledit contrSleur executent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- k chaque appel, le temoin tire au hasard et en priv6 au moins une 
collection de nombres entiers {r l5 r 2 , r 3 , ...l^elle que, pour chaque facteur 
premier p., chaque collection comporte un alea ^positif et plus petit que p, , 

- pour chaque facteur premier p. , le temoin eleve chaque alea r, a la 
puissance v i^me modulo p. 

R = r* mod p ( 

de sorte que le nombre d' operations arithmetiques modulo p n a effectuer 
pour calculer chacun des R pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo n, 

- puis, le temoin etablit chaque engagement R modulo n selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 
r 2 , r 3 , •..}, 

• etape 2. defi d destine au temoin : 

- le demonstrateur transmet tout ou partie de chaque engagement R au 
controleur, 

- le controleur, apres avoir re5u tout ou partie de chaque engagement R, 
produit au moins une collection de ddfis d {dA, dB, tels que 0 < dA < v 

- 1, le nombre des collections de defis d etant egal au nombre 
d'engagements R, chaque collection {dA, dB, ..•} comprenant un nombre 
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de defis 6gal au nombre de paires de cles, 

o ©{tape 3. repoinse dins ttem<DJim aim deH d s 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, 000} refues du controleur 

en effectuant des operations du type : 

P. = ir, • QA. " o QB, 43 . 000 mod p, 
de sorte que le nombre d'operations arithmetiques modulo p. k effectuer 
pour calculer chacun des D, pour chacun des p, est r£duit par rapport a ce 
qu'il serait si les operations etaient effectuees modulo mi, 
puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D calcul6es par le temoin que 
d' engagements K et de defis d, 

o ettape 4. doMoees desttnmiees antn comtirfilleunir t 

- le demonstrateur transmet au contrdleur chaque reponse D, 

0 ettape §„ veriiFicattSoini par le coimlroletiBr t 

ledit controleur calcule a partir de chaque reponse D un engagement W en 
effectuant des operations du type : 

E'sGA^.GB^.o.D' mod in 

ou du type : 

roGA^XB^ . O0 =B v mod el 
ledit controleur verifie que chaque engagement reconstruit W reproduit tout 
ou partie de chaque engagement R transmis k T6tape 2 par le 
demonstrateur. 

4„ Procede selon la revendication 2 pour diminuer la charge de 
travail pendant une session destinee k prouver a un contrSleur r authenticity 
d'un message mm, 

ledit procede met en oeuvre trois entit6s : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
P,> P 2 * ••• (Pi» •••) (i 6tant superieur ou egal k 2) d'un module public m tel 



Ill 



que n = p,.p 2 . p 3 . 

ledit temoin dispose aussi 

* des composantes QA„ QA 2 > ... (QA. , ...), et QB„ QB 2 j ... (QB, , 
...), . - repr6sentant des cles privees QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB,, ...) 

* d'un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GA.QA* mod n = 1 ou GA = QA v mod n 

2 - une deuxifeme entite pilote dudit temoin appelee demonstrates, 

3 - une troisieme entity appelee contr61eur verifie Tauthentification, 
pour prouver 1' authenticity d'un message ledit temoin, ledit d&nonstrateur 
et ledit controleur executent les 6tapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au hasard et en prive au moins une 
collection de nombres entiers {r l5 r 2 , r 3 , ...},telle que pour chaque facteur 
premier p,, chaque collection comporte un alea r.positif et plus petit que p, , 

- pour chaque facteur premier p. , le temoin eleve chaque alea r. k la 
puissance v ieme modulo p. 

R = r. ¥ mod p. 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 
pour calculer chacun des R pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo^n, 

- puis, le temoin etablit chaque engagement R modulo n seloh la methode 
des restes chinois, ^ 

de telle sorte qu'il y a autant d'engagements R que de collections d'ateas 
*" 2 , r 3 , ...}, 

• etape 2. defi d destine au temoin : 
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- le demonstrateur applique une fonction de hachage f ayant comme 
arguments le message mm et chaque engagement R pour un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le contr61eur, apr&s avoir re?u le jeton T, produit au moins une collection 
de d€f\s A {dA, &B 9 ...} tels que 0 < dlA < v - 1, le nombre des collections 
de d6fis dl etant egal au nombre d'engagements R 9 chaque collection {dA 9 
dB, ,oc} comprenant un nombre de defis egal au nombre de paires de cl6s, 

o ettape 3« repomise dun ttemolnn ana dlefi dl s 

- ledit temoin calcule des reponses B a partir desdites collections de d6fis dl 
{&A 9 dB, 000} revues du contrSleur 

en effectuant des operations du type : 

B, = ir, . QA ( o QB, ** . 0.0 m<Dd p. 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer 
pour calculer chacun des B, pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo un, 
de telle sorte qu'il y a autant de reponses B calcul£es par le t6moin que 
d* engagements M et de defis d, 

o etape 4. dominiees desttlmiees $m conutrolleiuiir 1 

- le demonstrateur transmet au controleur chaque reponse B, 

o ettape §«, veriOcatnoim par Be coMiroIemnr : 
ledit contrdleur calcule k partir de chaque reponse B un engagement W en 
effectuant des operations du type : 

R 9 sGA dA oGB dB . o-B v modn 

ou du type : 

R 9 . GA GB -B . oo.s B T mod m 
ledit contrSleur applique la fonction de hachage IT ayant comme arguments 
le message m et chaque engagement reconstruit R 9 pour reconstruire le 
jeton T% 
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ledit contr61eur verifie que le jeton T 9 est identique au jeton T transmis a 
Fetape 2 par le demonstrates. 

5. Proced6 selon la revendieation*«2 pour, diminuec la charge de 
travail pendant une session destinee k prouver a un controleur 4a signature 
numerique d'un message m, 
ledit proc6de met en oeuvre trois entit^s : 

1 - une premiere entite appelee temoin dispose des facteurs premiers 
Pi> P 2 > ••• (Pi9 — ) (* etant superieur ou 6gal k 2) d'un module public n tel 
que n = p,.p 2 . p 3 

ledit temoin dispose aussi 

* des composantes QA„ QA 2 , ... (QA,, ...), et QB„ QB 2 , ... (QB ( , 
...), repr6semtant des^cles priveesiQ i&rQIJ, ■*> . 

* ^de^ipicl^s^publiques^ -*GAjM3Bffc . . . ay ant respeeti vement pour 
compQsantes»G^fiG^,,.. ((M$W.) &4BMfl&Bfo. (GBf^...) 

* d'un^exposantepublieide*^^^ * 

lesdites^paires de*eles*privees*'et ^publi^ues-etaht li6es par -des relations du 
type*** 

GA.QA* mod n = 1 ou GA = QA v mod n 

2 - une deuxi&me entite pilote dudit temoin appelee signataire, 

3 - une troisieme entite appelee controleur verifie 1' authentication, 
pour prouver la signature d'un message ledit temoin, ledit demonstrates et 
ledit contrSleur ex6cutent les etapes suivantes : 

• etape 1. engagement R du temoin : 

- a chaque appel, le temoin tire au— hasard^ et en ^priv&- au moins une 
collection de nombres entiers {r l5 r 2 , r 3 , ...},telle que* pour chaque facteur 
premier p p chaque collection comporte un-atea-r, positif et plus petit que p, , 

- pour chaqu^wfacteur premier p. v le 4em©in^6Ievei*chaque al6a r, h la 
puissance v ieme modulo p. 

R = r. v mod p, 



de sorte que le nombre d' operations arithmetiques modulo p a k effectuer 
pour calculer chacun des R pour chacun des p, est r6duit par rapport k ce 
qu'il serait si les operations etaient effectu6es modulo un, 

- puis, le temoin 6tablit chaque engagement R modulo b selon la methode 
des restes chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

{^19 ^29 ^39 «»•«»}> 

o ettape 2« dleffn d destnme aim H^moiim : 

- le signataire applique une fonction de hachage f ayant comme arguments 
le message mm et chaque engagement R pour obtenir au moins une 
collection de d6fis d {dA, dB, tels que <Q> < dA < v - 1, le nombre des 
collections de d6fis dl etant egal au nombre d'engagements R 9 chaque 
collection {dA, dB, ...} comprenant un nombre de defis 6gal au nombre de 
paires de cl6s, 

- le signataire transmet les collections de defis d au temoin, 
o efcape 3* reponnse das (temoimi aan deffn d 1 

- ledit temoin calcule des reponses D a partir desdites collections de defis d 
{dA, dB, 000} re9ues du controleur 

en effectuant des operations du type : 

D, = r, . QA, dA . QB, ** . 0.0 mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p. k effectuer 
pour calculer chacun des D. pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo un, 
de telle sorte qu'il y a autant de reponses D calcutees par le temoin que 
d'engagements R et de d6fis d, 

- ledit temoin transmet les reponses D au signataire et/ou au contrdleur, 

o etaipe 4« domimiees destimees aua coffntroleunir t 

- le signataire transmet un message signe au contrdleur comprenant : 
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/ le message m, 

/ les collections de d6fis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le contrdleur : 
cas ou lejcontroleunrecoit la collection des defis d, 

dans le cas ou le contrdleur recoit la collection des d6fis d et des reponses 
D, ledit contrdleur calcule a partir de chaque reponse D un engagement R* 
en effectuant des op6rations du type : 

R'= GA **. GB dB . ...D v modn 

ou du type : 

R\ GA dA . GB dB . ...= D* mod n 

ledit contrdleur applique la fonction de.hachage f ayant comme arguments 
le message m et chaque engagement reeonstruit RV pour reconstruire 
chaque defid% 

ledit contrdleur verifie que chaque d6fi«d' reeonstruit est identique au d6fi d 
figurant dans le message. signe>x. 

cas ou le contrdleur regoit la collection des engagements R 

dans le cas oii le contrdleur re?oit la collection des engagements R et des 
reponses D, ledit contrdleur applique la fonction de hachage f ayant comme 
arguments le message m et chaque engagement R pour reconstruire chaque 
defi d% 

ledit contrdleur reeonstruit alors la collection des engagements R' en 
effectuant des operation du type 

R's GA dA . GB dB . ...D*~mod n 

ou du type : 

R* . GA dA . GB dB . ... = D r mod n 

ledit contrdleur venfie que chaque engagement R' reeonstruit est identique 
a 1' engagement R figurant dans le message signed 

6. Procecte selon l'une quelconque des revendications 1 a 5 tel que 
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les composantes QA l9 QA 29 ... (QA j9 ...), et QB l9 QB 2 , ... (QB, , ...), ... 
des ctes privies QA 9 QB, ... sont des nombres tires au hasard k raison 
d'une composante QA. 9 QB, 9 ... pour chacun desdits facteurs premiers p., 
lesdites cles privees QA, QB, pouvant etre calculees k partir desdites 
composantes QA l9 QA 29 ... (QA i9 ...), et QE l9 QB 29 ... (QB,, ...) t ... par la 
methode des restes chinois, 
lesdites. cles publiques GA 9 GB 9 ... etant calcutee 
o en effectuant des operations du type : 

GA, = QA, V mod p, 
o puis en appliquant la methode des restes chinois pour 6tablir GA tel que 

GA = QA v modle 

ou bien tel que 

GA.QA* modi n = t 
de sorte que le nombre d'op6rations arithmetiques modulo p, k effectuer 
pour calculer chacun des GAj pour chacun des p. est reduit par rapport k ce 
qu'il serait si les operations etaient effectuees modulo nn. 

7. Procede selon la revendication 6 tel que Texposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une security equivalente k la 
connaissance de la cle privee QA. 

8. Procede selon Tune quelconque des revendications 1 k 5 tel que 
Texposant public de verification v est du type 

v = a k 

ou Ik est un parametre de securite plus grand que 1. 

9. Procede selon la revendication 8 tel que : . 

- Texposant public de verification v est du type 

v = 2 k 

ou Ik est un parametre de s6curit6 plus grand que 1, 

- la c\6 publique GA est un carre gA 2 inferieur k n choisi de telle 
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sorte que les deux equations 

x 2 s= gA mod n et x 2 = - gAmod n 
n'ont pas de solution en x dans l'anneau des entiers modulo n, 

- lesdites composantes QA„ QA 2 , ... (QAj, ...) de la cl€ priv6e QA 
sont telles que : 

GA= QA, a - p0 ° mod Pi 

ou bien telles que : 

GA-.QA, * cxp(k) mod p ( = 1 
on les obtient en extrayant la k i&me racine carree de GA dans le corps de 
Galois CGCp,) 

de sorte que le nombre d* operations arithmetiques modulo p, k effectuer 
pour ealculer chacun des-QA. pour* chacun des p, est reduit par rapport k ce 
qu'il serait si les operations etaient effeetudes modulo n, 
de sorte -que la paire de cl6s GA, QA conf6re une s6curit& 6quivalente k la 
connaissance de la factorisation de 

10. Procede selon la revendication 9 tel que pour*extraire la k i&me 
racine carree de GA dans le corps*de*<5alois CG( Pi ), 

* dans le cas ou le facteur premier p. est congru k 3 modulo 4, on 
applique notamment un algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA. s GA 2 mod p. 

* dans le cas oil le facteur premier p. est congru k 1 modulo 4, on 
utilise les suites de Lucas. 

11. Systeme pour diminuer la charge de travail pendant une session 
destinee k prouver a un serveur contrdleur, 

- r authenticity d'une entite et/ou 

- Porigine et l'int€grit6 d'un message m, 
ledit proc6d6 met en oeuvre trois entit6s : 

- une premiere entitd, appel6e dispositif t£moin, contenue notamment 
dans un objet nomade se pr6sentant par exemple sous la forme d'une carte 



bancaire a microprocesseur, 

le dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p l9 p 29 ... (p. 9 o.„) (i etant sup6rienr ou egal a 2) d'un 
module public n tel que mi = Pj.p a . p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxieme zone m6moire 
contenant : 

* des composantes QA l9 QA 29 ... (QA,, ...), et QB l9 QB z9 ... (QB |9 
.oO, representant des cles privees QA 9 QB, ... 

* des cles publiques GA 9 GB, ... ayant respectivement pour 
composantes GA l9 GA 29 ... (GA. 9 ...) et GB l5 GB 29 ... (GB i9 ooo) 

* des exposants publics de verification vx 9 vy 9 ... 

lesdites cles privees et cles publiques etant liees par des relations du type : 

GA.QA" mod n = lou GA = QA"mocdl mi 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R en effectuant des operations du type : 

R. = r ™ mmod p, 
ou r. est un alea tel que 0 < r. < p. , 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p. est reduit par rapport a ce qu'il serai t si les operations etaient 
effectuees modulo n, 

- une deuxieme entite appelee dispositif pilote dudit dispositif 
temoin pouvant etre egalement contenue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrateur dans le cas de la preuve de 1* authenticity 
d'une entite ou de l'authenticite d'un message, 

* dispositif de signature dans les cas de la preuve de Torigine et de 
l'intSgrite d'un message, 
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- une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif contrdleur comporte des moyens de -connexion* ?pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

ledit dispositif controleur verifie l'authentification ou l'origine et I'int6grit6 
d'un message, 

ledit dispositif temoin re?oit du dispositif pilote ou du dispositif controleur 
un ou plusieurs defis d tel que 0 < d < vx - 1 et comporte des deuxiemes 
moyens de calcul pour calculer k partir dudit defi d une ou plusieurs 
reponses D en effeetuant des operations du type : 

D. = r. . QA, dA . QBj ^ . ... mod p, 
ou r, est un entier, associe au nombre premier p., tel que 0 < r ( < p ( , chaque 
r. appartenant a une collection d'aleas {r,, r 2 , r 3 , ...}, 

le temoin tire au hasard une ou plusieurs collections d*al£as de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d'engagements R que de collections d'aleas {r p r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p. h. effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacune des reponses Dj 
pour chacun des p. est reduit par rapport a ce qu'il serait si les operations 
etaient effectuees modulo n, 

ledit dispositif controleur, recevant une ou plusieurs reponses D, comporte 
des troisiemes moyens de calcul pour-calculer a partir desdites reponses D 
des engagements R' en effectuant des operations du type : 

R'= GA dA . GB dB . ...D v modn 

ou du type : 

R'. GA dA . GB dB . ..-=D V modn 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
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verifier que les triplets {R% dl, D} sont coherents. 

12. Systeme pour diminuer la charge de travail pendant une session 
destinee a prouver a un contrdleur, 

- T authenticity d'une entity et/ou 

- 1'origine et Tintegrite d'un message mm, 
ledit procede met en oeuvre trois entiles : 

- une premiere entite appelee dispositif ternoin, contenue notamment 
dans un objet nomade se pr^sentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p„ p 29 ... (p, 9 „..) (i etant superieur ou egal k 2) d'un 
module public n tel que n = p,<>p 2 * p 3 o .•. , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant 

* des composantes QA l9 QA 2? ... (QA j9 ♦ et QB l9 QB 29 ... (QB j9 
...), representant des cles privees QA ? QB, ... 

* des cles publiques GA 9 GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA. 9 ...) et GB l9 GB 2 , ... (GB i9 ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques 6tant liees par des relations du 
type : 

GAoQA v modi m = 1 on GA = QA v modl n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 
o en effectuant des operations du type : 

M, = modi p, ■ 

ou r. est un entier, tire au hasard, associe au nombre premier p,, tel que <D> < 
r. < p. , chaque r, appartenant a une collection d'aleas {r l9 r 29 r 39 ..o}, 
o puis en appliquant la methode des restes chinois, 
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le temoin tire au hasard une ou plusieurs collections d'ateas de telle sorte 
qu'il y a autant d'engagements R que de collections d'ateas {r,, r 2 , r 3 , ... }, 
de sorte que le nombre d'operations arithmetiques modulo p. & effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R. pour chacun 
des ft est reduit par rapport a ce qu'il serait si les operations dtaient 
effectives modulo n, 

- une deuxieme entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contehue notamment dans ledit objet 
nomade, 

ledit dispositif pilote est appele 

* dispositif demonstrates dans le cas de la preuve de 1' authenticity 
d'une entit6 ou de 4' authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de l'origine et de 
T integrity d'un message, 

- une troisieme entite, appeiye dispositif contrSleur, se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
a un reseau de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique audit dispositif tymoin, 

ledit dispositif controleur verifie Tauthentification ou l'origine et l'integrity 
d'un message, 

ledit dispositif temoin re?oit du dispositif pilote ou du dispositif contrSleur, 
des collections de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ...} comprenant un nombre de defis egal au nombre de 
paires de ciys, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer k partir de chacune desdites collections de defis {dA, dB, ...} des 



^ 122 ^ 



reponses D 

o en effectuant des operations du type : 

D. = r r QA, dA . QB, . ... modi p ( 
o puis en appliquant la m6thode des restes chinois, 

de telle sorte qu'il y a autant de reponses B que d' engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo p l k effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des B, pour 
chacun des p. est reduit par rapport k ce qu'il serait si les operations 6taient 
effectuees modulo m 9 

ledit dispositif contr61eur, recevant une ou plusieurs reponses B 9 comporte 
des troisi&mes moyens de calcul pour calculer a partir desdites reponses D 
un engagement R 9 en effectuant des operations du type : 

R'=GA dA .GB dB , o..B v modnn 

ou du type : 

W . GA dA o GB sD v modi an 

ledit dispositif contrSleur comporte des quatriemes moyens de calcul pour 
verifier que les triplets {R% d, B} sont coherents. 

13. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee a prouver a un contrfileur 1* authenticity 
d'une entite ; 

ledit procede met en ceuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire a microprocesseur, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p 1? p 2 , «o. (p. , o..) (i etant superieur ou egal a 2) d'un 
module public n tel que n = p,.p r p 3 . ••• , 

ledit dispositif t6moin dispose aussi d'une deuxieme zone memoire 



123 



contenant : 

* des composantes QA,, QA r , ... (QA,, ...), et QB„ QB 2 , ... (QB,., 
...),..., representant- des cl6s privees QA, QB, . . . 

* des - cles publiques GA, GB, ... ayant respectivement pour 
composantes- GA,; GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cl6s privies et publiques etant liees par des relations du 
type : 

GA.QA" mod nslou GA s QA v mod n 

2 - une deuxieme entit6 appelee dispositif demonstrateur dudit 
dispositif t6moin, pouvant etre egalement contenue notamment dans ledit 
objet nomade#« 

3 -. une«tr©isieime^entite appelee dispositif contrdleur se presentant 
sous la foiaiie<»d'^ ^ un r ^ seau 
de communiGatiQnw'nfofirnatique,'* 

ledit • dispo.skif^onteoieur^comporte »des ■■ moyens de connexion pour le 
connecter*-* ele^triquememtr* electromagmetiquement,. optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver l'authenticitd d'une entite, ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

• etape 1. engagement R du dispositif temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priver a chaque appel, au moins une collection de nombres 
entiers {r„ r 2 , r 3 , ...},telle que pour chaque facteur premier p,, chaque 
collection comporte un alea r,positif et plus petit que p, , 

- le dispositif temoin comporte des deuxiemes moyens de calcul pour elever 
chaque alea r, a la puissance v ieme modulo P; , pour chaque facteur 
premier p. , 
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de sorte que le nombre d' operations arithmetiques modulo p, a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R, pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations etaiemt 
effectuees modulo mi, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'aleas 

{B° i9 T 29 D° 35 eoo}, 

o cgitape 2. defl d desliime ana disposittifF t&mohn z 

- le dispositif demonstrates comporte des moyens de transmission pour 
transmettre tout ou partie de chaque engagement R au dispositif 
contr61eur, 

- le dispositif contrdleur comporte des troisiemes moyens de calcul pour 
calculer, apr&s avoir re?u tout ou partie de chaque engagement R 9 au moins 
une collection de defis d {dA, dB, ••.} tels que © < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d'engagements R 9 chaque 
collection {dA, dB, comprenant un nombre de defis egal au nombre de 
paires de cles, 

o ettape 3, reponse dm dispositif temonim ana deffi d t 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D ,a partir desdites collections de defis d {dA, dB, 
<,..} re9ues du dispositif controleur, 

en effectuant des operations du type : 

B.s r. . QA, " . QB, . ... mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer 
par les quatriemes moyens de calcul pour calculer chacun des B, pour 
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chacun des p, est r6duit par rapport k ce qu'il serait si les operations etaient 
effectuees modulo n > 

de telle sorte qu'il y a autant de r6ponses D caleuiees-par le temoin que 
d' engagements R 7 et de defis d, 

• etape 4. donnees destinees au dispositif contrdleur : 

- le demonstrates comporte des moyens de transmission pour transmettre 
au dispositif contr61eur chaque r6ponse D, 

• etape 5. verification par le dispositif contrdleur : 

ledit dispositif contrdleur comporte des cinquiemes moyens de calcul pour 
calculer k partir de chaque r6ponse D un engagement R' en effectuant des 
operations du type : 

R*« GA "rGBf . *..D>mod*n n 

ou du type : 

R* • GA dA . GB*". D v .mod n . 
ledit dispositif contrdleur eomporte^des* sixiemes ^moyens de calcul pour 
comparer et verifier que chaque engagement reconstruct R> reproduit tout 
ou partie de chaque engagement R%ansmis a r etape 2 par le dispositif 
demonstrateur. 

14. Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destinee k prouver a un contrdleur T authenticity 
d'un message m, 

ledit proced6 met en oeuvre trois entit6s : 

1 - une premiere entite appelee dispositif temoin, contenue 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire k microprocessewv 

ledit dispositif temoin dispose d'une premiere zone m6rnoire contenant des 
facteurs premiers p,, p 2 , ... (p, , ...) (i etant superiepr ou 6gal k 2) d'un 
module public n tel que n = p t .p r p 3 . ... , 

ledit dispositif temoin dispose aussi d'une deuxifcme zone m£moire 
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contenant 

* des composantes QA 1? QA 29 ... (QA,, ...), et QB l9 QB 29 o 00 (QB |9 
oo.), repr^sentant des cl6s privies QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA l9 GA 2 , ... (GA,, ...) et GB„ GB 2 , .o. (GIB,, oo.) 

* un exposant public de v6rification v 
lesdites paires de cl6s priv6es et publiques etant lifes par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA'mniodl n 

2 - une deuxi&me entity, appelde demonstrateur dudit dispositif 
temoin, pouvant etre 6galement contenue notamment dans ledit objet 
nomade, 

3 - une troisieme entite appel6e dispositif contrdleur se pr6sentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un r6seau 
de communication informatique, 

ledit dispositif contrSleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagnetiquement, optiquement ou de 
mani&re acoustique audit dispositif temoin, 

pour prouver F authenticity d'un message ledit dispositif t6moin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les 6tapes 
suivantes : 

o elape 1. emigagemeinitt K du dSsposntiff temofiim s - 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en priv6, & chaque appel, au moins une collection de nombres 
entiers {r l9 r 2 , r 3 , ...},telle que pour chaque facteur premier p p chaque 
collection comporte un alea r.positif et plus petit que p, 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
Clever chaque al6a r, & la puissance v ieme modulo p s , pour chaque facteur 
premier p. , 
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R, = r,* mod p, 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun >des R, pour chacun 
des p, est r6duit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo n, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la m6thode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'ateas 

( r i» r 2» r 3» 

• etape 2. defi d destine au dispositif temoin : 

- le dispositif d6monstrateur comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit dispositif d6monstrateur comporte des moyens de transmission pour 
transmettre le jeton T au dispositif contrdleur 

- ledit dispositif contrdleur comporte des troisiemes moyens de calcul pour 
calculer, apres avoir re?u le jeton T, au moins une collection de defis d 
{dA, dB, ...} tels que 0 < dA < v - 1, le nombre des collections de d6fis d 
etant egal au nombre d'engagements R, chaque collection {dA, dB, ...} 
comprenant un nombre de d6fis egal au nombre de paires de cl6s, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D, a partir desdites collection de defis d {dA, dB, ...} 
recues du dispositif controleur 

en effectuant des operations du type : 

D. = r, . QA, dA . QB, . ... mod p, 
puis en appliquant la m6thode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer 




par les quatriemes moyens de calcul pour calculer chacun des E5 a pour 
chacun des p. est r6duit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo an, 

de telle sorte qu'il y a autant de reponses D calcul6es par le t6moin que 
d' engagements R et de defis dl, 

o etape 4. dlomiiniees destimees am disposMlf comillrSIlemiir % 
- le demonstrateur comporte des moyens de transmission pour transmettre 
au dispositif qontr61eur chaque reponse D, 

0 etape So verMcattnoim par k dSsposnttilT coMirofleiiiHr t 

ledit dispositif contr61eur comporte des cinqui&mes moyens de calcul pour 
calculer k partir de chaque reponse B un engagement W en effectuant des 
operations du type : 

ou du type : 

E'oGA GB ...s D v modi m 
ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage IF ayant comme arguments le 
message m et chaque engagement R% le jeton T% 

ledit dispositif controleur comporte des septifemes moyens de calcul pour 
comparer et verifier que le jeton T 9 est identique au jeton T transmis k 
l'etape 2 par le dispositif demonstrateur. 

IS, Systeme selon la revendication 12 pour diminuer la charge de 
travail pendant une session destin^e k prouver k un controleur la signature 
numerique d'un message mm, 
ledit precede met en ceuvre trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenues 
notamment dans un objet nomade se presentant par exemple sous la forme 
d'une carte bancaire k microprocesseur, 

ledit dispositif temoin comporte une premiere zone m6moire contenant des 
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facteurs premiers p t , p 2 , ... (p, , ...) (i 6tant superieur ou 6gal k 2) d'un 
module public n tel que n = Pj.p 2 . p 3 . ... , 

ledit dispositif temoin comporte aussi une deuxifcme zone m6moire 
contenant : 

* des composantes QA V QA 2 , ... (QA ( , ...), et QB,, QB 2 , ... (QB,, 
...), repr^sentant des cl6s privies QA, QB, ... 

* des cl£s publiques GA, GB, ... ayant respectivement pour 
composantes GA t , GA 2 , ... (GA,, ...) et GB,, GB 2 , ... (GB ( , ...) 

* un exposant publique de verification v 

lesdites paires de cl6s privies et publiques 6tant li6s par des relations du 
type : 

GA.QA V mod n = 1 ou GA = QA'mod n 

2 - une deuxi&me entite appelee dispositif de signature, pouvant Stre 
egalement contenue notamment dans ledit objet nomade, 

3 - une troisi&me entite appelee dispositif controleur se pr6sentant 
sous la forme d'un terminal et/ou d'un serveur distant connect^ k un reseau 
de communication informatique, 

ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagn6tiquement, optiquement ou de 
maniere acoustique audit dispositif temoin, 

pour prouver la signature d'un message ledit dispositif temoin, ledit 
dispositif demonstrateur et ledit dispositif controleur executent les etapes 
suivantes : 

* etape 1. engagement R du temoin : 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv6, k chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...},telle que pour chaque facteur premier p,, chaque 
collection comporte un alea r.positif et plus petit que p, , 

- le dispositif temoin comporte des deuxifemes moyens de calcul pour 61ever 
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chaque al6a r. a la puissance v ieme modulo p., pour chaque facteur premier 

Pi. 

1R, = p* modi p, 

de sorte que le nombre d* operations arithm6tiques modulo p, h effectuer par 
les deuxifemes moyens de calcul pour calculer chacun des IBL pour chacun 
des p, est reduit par rapport k ce qu'il serait si les operations 6taient 
effectuees modulo mi, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif t&noin 
etablissent chaque engagement R modulo n selon la m6thode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 
{r„ r a ,r 3J .00}, 

o ©tape 2. deffn d desttlnie aun dnspositnf (temmini 1 
- - ledit dispositif de signature comporte des troisi&mes moyens de calcul 
pour calculer, en appliquant une fonction de hachage £ ayant comme 
arguments le message mm et chaque engagement R, au moins une collection 
de defis d {dA 9 dB 9 tels que 0 < dA < v - 1, le nombre des collections 
de defis d etant egal au nombre d' engagements R 9 chaque collection {dA, 
dB, „oo} comprenant un nombre de defis 6gal au nombre de paires de cl6s, 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

o eltape 3. repoose de dlsposittnff temoto sm deffl d t 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses B 9 k partir desdites collections de defis d {dA, dB, 
.«.} re9ues du dispositif controleur, 

en effectuant des operations du type : 

B. h= r. o QA. " o QBj ** , 000 mod p ( 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d*op6rations arithmetiques modulo p i & effectuer 
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par les quatriemes moyens de calcul pour calculer chacun des D, pour 
chacun des p. est r6duit par rapport k ce qu'il serait si les operations etaient 
effectu^es modulo n, 

de telle sorte qu'il y a autant de reponses D calcutees par le t£moin que 
d' engagements R et de d6fis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
controleur, 

• etape 4. donnees destinees au dispositif controleur : 

- le dispositif de signature transmet au dispositif contr61eur un message 
sign€ comprenant : 

/ le message m, 

/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

• etape 5. verification par le dispositif controleur : 
cas ou le dispositif controleur regoit la collection des defis d, 

dans le cas ou le dispositif controleur regoit les collections des defis d et 
des reponses D, ledit dispositif controleur comporte des cinquiemes moyens 
de calcul pour calculer k partir de chaque reponse D un engagement R' en 
effectuant des operations du type : 

R'= GA dA . GB dB . ...D v modn 

ou du type : 

R\ GA d \ GB dB . ...= D T mod n 

ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer chaque defi d\ en appliquant la fonction de haChage f ay ant 
comme arguments le message m et chaque engagement recons trait R% 
ledit dispositif controleur comporte des septtemes moyens de calcul pour 
comparer et v6rifier que chaque d6fi d' est identique au defi d figurant dans 
le message sign6, 
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cas op le dSspositniF comiitrSleer revolt la collecttlomi dies eMgagemennts R 
dans le cas ou le dispositif contr61eur re?oit la collection des engagements 
R et des reponses D, ledit dispositif controleur comporte des cinquiemes 
moyens de calcul pour calculer chaque defi d 9 , en appliquant la fonction de 
hachage f ayant comme arguments le message mm et chaque engagement R 9 
ledit dispositif controleur comporte des sixiemes moyens de calcul pour 
calculer alors la collection des engagements R' en effectuant des operations 
du type 

R 9 = GA d '\ GB ™. ...ff mod mi 

ou du type : 

W . GA d ' A .GB d \,o.sD v mod mi 
ledit dispositif controleur comporte des septiemes moyens de calcul pour 
comparer et verifier que chaque engagement W reconstruit est identique k 
T engagement R figurant dans le message signe. 

16. Systeme selon Tune quelconque des revendications 11 a 15 tel 
que les composantes QA l9 QA 2 , ... (QA i9 ...), et QB 1? QB 29 ... (QB i9 
... des cles privees QA, QB, ... sont des nombres tires au hasard a raison 
d'une composante QA. 9 QB i9 ... pour chacun desdits facteurs premiers p p 
lesdites cles privees QA, QB, pouvant etre calculees k partir desdites 
composantes QA l9 QA 2 , ... (QA, ...), et QB„ QB 2 , ... (QB |9 ... par la 
methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, 
o en effectuant des operations du type : 

GA. = QA. v modp. 
o puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA v mod mi 

ou bien tel que 

GA.QA V mod mi s 1 
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de sorte que le nombre d' operations arithmetiques modulo p, k effectuer par 
les huitiemes moyens de calcul dudit dispositif t6moin pour calculer chacun 
des GA, pour chacun des p. est r6duit par rapport k ce qu'il serait si les 
operations etaient effectuees modulom,^ 

17. Syst&me selon la revendication 16 tel que Texposant public de 
verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securit6 Squivalente k la 
connaissance de la cle privee QA. 

18- Sy steme selon Tune quelconque des revendications 11 k 15 tel 
que 1'exposant public de verification v est du type 

v = a k 

ou k est un parametre de seGurit^plus*grandHqu^l . 

19.*Syst&me selon la revendieati©nwl<8^tel que : 
- 1' exp.osantepub^^^ est*du^ty pe-^ 

— ■ ----- -- v ^ 2 fc r 

ou k es t*un*p ar<ametre de seeurit^plusiigrand^que* 1, 

- la ^l^publiqu^ GA-estaun»iGai^e^gA^inf6rieur ^ n choisi de telle 
sorte que les deux equations 

x 2 = gA mod n et x 2 = - gA mod n 
n'ont pas de solution en x dans Fanneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QA„ QA 2 , ... (QA, , ...) de la cl6 
privee QA en appliquant des formules telles que : 

GA- QA.^modp, 

ou bien telles que : 

GA .Q^mod-ftsl 

et en extrayant la k ieme racine-6arr6e^ de *G A dans le -corps de Galois 
CG( Pi ) 

de sorte que le nombre d'op6rations arithmetiques modulo p. k effectuer 
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par les neuviemes moyens de calcul du dispositif temoin pour calculer 
chacun des QA ( pour chacun des p, est reduit par rapport a ce qu'il serait si 
les operations etaient effectuees modulo im, 

de sorte que la paire de cles GA, QA confere une securite 6quivalente k la 
connaissance de la factorisation de m. 

20o Sy steme selon la revendication 19 tel que pour extraire la k i&me 
racine carr6e de GA dans le corps de Galois CGCp,), 

* dans le cas ou le facteur premier Pj est congru a 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA 4 = GA Z mod p. 

* dans le cas ou le facteur premier p, est congru k 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme base sur les suites de Lucas. 

21. Objet nomade, se prSsentant par exernple sous la forme d'une 
carte bancaire k microprocesseur, pour diminuer la charge de travail 
pendant une session destin^e k prouver k un serveur contrdleur, 

- T authenticity d'une entite et/ou 

- Torigine et I'integrite d'un message mm, 
ledit objet nomade faisant intervenir trois entites : 

- une premiere entite, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p l9 p 2 , .„a (p, , .«.) (i etant superieur ou egal a 2) d'un 
module public in tel que n = p r p 2 . p 3 * , 

ledit dispositif temoin dispose aussi d'une deuxieme zone memoire 
contenant : 

* des composantes QA„ QA 2 , ... (QA,, ••.), et QB„ QB 2 , ... (QB i9 
...), representant des cl6s privees QA, QB, ... 
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* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA„ U GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GB,, ...) 

* des exposants publics de v6mficationarx^vy f ... 

lesdites cles privees et cl6s publiques 6tant liees par des relations du type : 

GA4JA" mo< | n =lou GA s QA ¥,I mod n 
ledit dispositif temoin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R erijeffectuant des operations du type : 

R s r ™ mod p, 
ou r, est un alea tel que 0 < r, < p,, 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p. est reduit^par rapport-a ce qu'il serait si les operations 6taient 
effectuees modulo«n,^ 

- une deuxieme entiteV*appeleV dispositif pilote dudit dispositif 
temoin, pouvant 6 tre egalement eontenue dans ledit objet nomade, 

ledit dispositif pilote est appete* : 

* dispositif demonstrateur dans le cas de la preuve de 1' authenticity 
d'une entite ou de F authenticity d'un message, 

* dispositif de signature dans les cas de la preuve de l'origine et de 
l'integrite d'un message, 

- une troisieme entite appelee dispositif contrSleur se pnSsentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connect6 
a un reseau de communication informatique, 

ledit dispositif contrdleur v6rifie l'authentification ou l'origine et 1' integrity 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de maniere 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
contrdleur, 
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ledit dispositif temoin re9oit du dispositif pilote ou du dispositif contr61eur 
un ou plusieurs defis dl tel que <Q><d<vx«let comporte des deuxi&mes 
moyens de calcul pour calculer a partir dudit d€fi dl une ou plusieurs 
reponses D en effectuant des operations du type : 

B, = r, * QA, . QB, . mod p, 
ou r, est un entier, associ6 au nombre premier p ( , tel que 0 < ir, < p, , chaque 
r, appartenant k une collection d'aleas {r l9 \c 29 r 3 , .•.}, 

le temoin tire au hasard une ou plusieurs collections d'ateas de telle sorte 
que, pour chaque exposant public de verification v, il y a autant 
d' engagements R que de collections d'al6as {r p r 2> r 3 , ... }, 
de sorte que le nombre d' operations arithmetiques modulo p. k effectuer par 
lesdits deuxi&mes moyens de calcul pour calculer chacune des reponses ED, 
pour chacun des p, est reduit par rapport k ce qu'il serait si les operations 
~6taient effectu6es modulo nn, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contrSleur la ou les dites reponses D>« 

22* Objet nomade se pr6sentant par exemple sous la forme d'une 
carte bancaire k microprocesseur, pour diminuer la charge de travail 
pendant une session destinee k prouver k un contrdleur, 

- Tauthenticit6 d'une entite et/ou 

- Torigine et Tintegrite d'un message mm, 
ledit objet nomade faisant intervenir trois entitds: 

- une premiere entit6, appelee dispositif temoin, contenue dans ledit 
objet nomade, 

ledit dispositif temoin dispose d'une premiere zone memoire contenant des 
facteurs premiers p l9 p 2 , (p, , .„•) (i 6tant sup6rieur ou egal k 2) d'un 
module public n tel que n = p,.p 2 . p 3 o ... , 

ledit dispositif temoin dispose aussi d'une deuxteme zone memoire 
contenant 
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* des composantes QA l9 QA 2 , ... (QA,, ...), et QB X , QB 2 , ... (QB,, 
...),..., reprdsentant des cles privies QA, QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA l5 GA 2 , ... (GA., ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant li£es par des relations du 
type: 

GA.QA V mod n = 1 ou GA = QA'mod n 

ledit dispositif t^moin comporte aussi des premiers moyens de calcul pour 
calculer des engagements R, 

• en effectuant des operations du type : 

R, s r, v mod p, 

oil r, est un entier, tir£ au hasard, associ£ au nombre premier p,, tel que 0 < 
r i < P. . chaque r, appartenant k une collection d'aleas {r p r 2 , r 3 , ...}, 

• puis en appliquant la m^thode des restes chinois, 

le t6moin tire au hasard une ou plusieurs collections d'al6as de telle sorte 
qu'il y a autant d'engagements R que de collections d'ateas {r v r 2 , r 3 , ... }, 
de sorte que le nombre d' operations arithm&iques modulo Pj k effectuer par 
lesdits premiers moyens de calcul pour calculer chacun des R, pour chacun 
des p. est reduit par rapport a ce qu'il serait si les operations Staient 
effectuees modulo n, 

- une deuxi&me entite, appelee dispositif pilote dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

ledit dispositif pilote est appel6 

* dispositif demonstrateur dans le cas de la preuve de 1' authenticity 
d'une entite ou de 1' authenticity d'un message, 

* dispositif de signature dans le cas de la preuve de l'origine et de 
rint6grit6 d'un message, 

- une troisieme. entity, appetee dispositif contrSleur, se presentant 



notamment sous la forme d'un terminal et/ou d'un serveur distant connect^ 
k un reseau de communication informatique, 

ledit dispositif controleur verifie rauthentification ou Torigine et Tint6grit6 
d'un message, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de mani&re 
acoustique ledit dispositif temoin et/ou ledit dispositif pilote audit dispositif 
contr61eur, 

ledit dispositif t6moin re^oit du dispositif pilote ou du dispositif contrSleur, 
des collections de defis d {dA, &M 9 ...} tels que © < dA < v - 1, le nombre 
des collections de defis d etant egal au nombre d' engagements R, chaque 
collection {dA, dB, ..„} comprenant un nombre de defis 6gal au nombre de 
paires de cl6s, 

ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
calculer k partir de chacune desdites collections de defis {dA, dB, 00 o} des 
reponses D 

o en effectuant des operations du type : 

B, = r, . Q A. . QB, " . ... mod p, 
o puis en appliquant la methode des restes chinois, 

de telle sorte qu'il y a autant de reponses D que d' engagements R et de 
defis d, 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer par 
lesdits deuxiemes moyens de calcul pour calculer chacun des D pour 
chacun des p, est r6duit par rapport a ce qu'il serait si les operations 6taient 
effectu6es modulo m, 

ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contrdleur la ou lesdites r6ponses Do 

23. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destin^e k prouver k un dispositif contrdleur 
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T authenticity d'une entity ; 

ledit objet nomade faisant intervenir trois entit6s : 

1 - une premiere entity appetee dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone m6moire contenant des 
facteurs premiers p„ p 2 , ... (p f , ...) (i etant sup6rieur ou 6gal k 2) d'un 
module public n tel que n = p r p 2 . p 3 , 

ledit dispositif temoin comporte aussi une deuxi&me zone memoire 
contenant : 

* des composantes QA l9 QA 2 , ... (QA ( , ...), et QB,, QB 2 , ... (QB,, 
...), .... repr6sentant des cl6s privies QA, QB, ... 

* des cl6s publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA,, ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type : 

GA.QA V mod n s 1 ou GA = QA T mod n 

2 - une deuxieme entite, appelee dispositif demonstrateur dudit 
dispositif temoin, pouvant etre egalement contenue dans ledit objet 
nomade, 

3 - une troisieme entite appelee dispositif controleur se presentant 
notamment sous la forme d'un terminal et/ou d'un serveur distant connecte 
& un reseau de communication informatique, 

ledit objet nomade comporte des moy ens de connexion pour connecter 
dlectriquement, electromagnetiquement, optiquement ou de mani&re 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif contrdleur, 

pour prouver 1' authenticity d'une entit6, ledit objet nomade execute les 
Stapes suivantes : 



o ©tape L eimgageinnieimtt R don disposMff t<Smmonnn t 

- le dispositif temoin comporte des premiers moyens de calcul pour tirer au 
hasard et en priv£, a chaque appel, au moins une collection de nombres 
entiers {r l9 r a , r 3? .oo},telle que pour chaque facteur premier p |t chaque 
collection comporte un al£a r.positif et plus petit que p , 

- le dispositif t£moin comporte des deuxifcmes moyens de calcul pour 61ever 
chaque al6a ir, k la puissance v ieme modulo p. , pour chaque facteur 
premier p., 

R. = r* mod p, 

de sorte que le nombre d' operations arithm^tiques modulo p, a effectuer par 
les deuxiemes moyens de calcul pour calculer chacun des R, pour chacun 
des p ( est reduit par rapport a ce qu'il serait si les operations etaient 
effectu^es modulo mi, 

- puis, lesdits deuxifcmes moyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections d'ateas 

o ettape 2* IramisirmssSoini des engagements R el recepiioini des deffiis 
d destSimes am dnsposiltiir lemom t 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif contrSleur tout ou partie de chaque engagement R, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de defis d {&A 9 dB, 000} produits par ledit dispositif contrSleur, 

o ettape 3. repoese duo dispositiff ttemonim amix deffls d s 

- ledit dispositif temoin comporte des troisiemes moyens de calcul pour 
calculer des r£ponses D , k partir desdites collections de defis d {dA, &M 9 
.00} re9ues du dispositif controleur, 

en effectuant des operations du type : 
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D t = r, . QA, " . QB, * . ... mod p, 

puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo- p, a effectuer par 
les troisiemes moyens de calcul pour calculer chacun des D, pour chacun 
des p, est r6duit par rapport k ce qu'il serait si les -operations etaient 
effectuees modulo n, 

de telle sorte qu'il y a autant de reponses D calculees par le t6moin que 
d' engagements R et de defis d, 

• etape 4. donnees destinees au dispositif controleur : 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
au dispositif controleur chaque reponse D, 

♦ etape 5. verification par le dispositif controleur : 

ledit dispositif contr61eur verifie la coherence des triplets {R, d, D} et 
F authenticity de Tentite controlfie. 

. 24. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver k un controleur 
F authenticity d'un message m, 
ledit objet nomade faisant intervenir trois entiles : * 

1 - une premiere entite, appelee dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premiere zone memoire contenant des 
facteurs premiers p„ p 2 , ... (p. , ...) (i etant supSrieur ou egal k 2) d'un 
module public n tel que n = p,.p r p 3 . , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
contenant 

* des composantes QA„ QA 2 , ... (QA ( , ...), et QB,, QB 2 , ... (QB,, 
...),..., representant des cl6s privees QA, QB, ... 

* des ctes publiques GA, GB, ... ayant respectivement pour 
composantes GA,, GA 2 , ... (GA i? ...) et GB,, GB 2 , ... (GB,, ...) 
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* un exposant public de verification v 
lesdites paires de cles privees et publiques etarit \i6es par des relations du 
type : 

GA„(Q>A V mod nslou GA = QA'mmod mi 

2 - une deuxieme entite, appelee demonstrateur dudit dispositif 
temoin, pouvant etre egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif controleur se pr6sentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un reseau 
de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
electriquement, electromagnetiquement, optiquement ou de manifere 
acoustique ledit dispositif temoin et/ou ledit dispositif demonstrateur audit 
dispositif controleur, 

pour prouver Tauthenticite d'un message ledit objet nomade execute les 
etapes suivantes : 

o ettape 1. engagemeinilt E dun dnsposnttaff temrnoimi i 

- ledit dispositif temoin comporte des premiers moyens de calcul pour tirer 
au hasard et en priv6, & chaque appel, au moins une collection de nombres 
entiers {r l$ r 29 r 35 •••},telle que, pour chaque facteur premier p l? chaque 
collection comporte un alea r. positif et plus petit que p, , 

- ledit dispositif temoin comporte des deuxiemes moyens de calcul pour 
elever chaque alea r, a la puissance v ifeme modulo p. , pour chaque facteur 
premier p. , 

R = r. v mod p. 

(de sorte que le nombre d' operations arithmetiques modulo p. k effectuer 
par les deuxiemes moyens de calcul pour calculer chacun des pour 
chacun des p, est reduit par rapport a ce qu'il serait si les operations 6taient 
effectuees modulo m, 

- puis, lesdits deuxiemes moyens de calcul dudit dispositif temoin 
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&ablissent chaque engagement R modulo n selon la m6thode des restes 
chinois, 

de telle sorte qu'il y a autant d'engagements R que de collections^' aleas 
{ *V > r 2 , r 3 , • . • }, 

• etape 2. reception des defis d destines au dispositif temoin: 

- le dispositif demonstrates comporte des premiers moyens de calcul pour 
calculer, en appliquant une fonction de hachage f ayant comme arguments 
le message m et chaque engagement R pour un jeton T, 

- ledit objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif controleur le jeton T, 

- ledit objet nomade comporte des moyens de reception pour recevoir des 
collections de*deWd {dA* dBf%;..} produits par ledit dispositif contrdleur 
au moyen du»jeton«rr^ 

• etape 3. freponse dusdispositifrtemoin au*defi d :> 

- ledit dispositif, temoin comporte*des troisiemes. moyens de calcul pour 
calculer des repbnses D,*'a partir ;desdites collections de deTis d {dA, dB, 
. . . } recues dtf dispositif controleur « 

en effectuant des operations du type : 

D, = r, . QA, ** . QB, - . . . . mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d'operations arithmetiques modulo p, a effectuer par 
les quatriemes moyens de calcul pour calculer chacun des D, pour chacun 
des p, est reduit par rapport a ce qu'il serait si les operations etaient 
effectuees modulo-n, 4 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de deiis- d, ' 

• etape 4. donnees destinees au dispositif controleur : 

- l'objet nomade comporte des moyens de transmission pour transmettre 
audit dispositif contrdleur chaque reponse D 
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0 etape S. verSffication par le dispositif comtrfiHeiuHr : 

ledit dispositif controleur verifie la coherence des triplets {R 9 d, D) et 
F authenticity du message mm. 

25. Objet nomade selon la revendication 22 pour diminuer la charge 
de travail pendant une session destinee a prouver a un contrdleur la 
signature numerique d'un message m, 
ledit objet nomade faisant intervenir trois entites : 

1 - une premiere entite, appelee dispositif temoin, contenue dans 
ledit objet nomade, 

ledit dispositif temoin comporte une premifere zone mdmoire contenant des 
facteurs premiers p l9 p 2 , (p., (i etant superieur ou egal k 2) d'un 
module public n tel que m = p,.p 2 . p 3 . , 

ledit dispositif temoin comporte aussi une deuxieme zone memoire 
— contenant : — _ — 

* des composantes QA„ QA 2 , ... (QA., ...), et QB l9 QB 2 , (QB i9 
...), representant des cles privies QA 9 QB, ... 

* des cles publiques GA, GB, ... ayant respectivement pour 
composantes GA l9 GA 2 , ... (GA i9 ...) et GB„ GB 2 , ... (GB,, ...) 

* un exposant public de verification v 

lesdites paires de cles privees et publiques etant liees par des relations du 
type: 

GA.QA V mod n = 1 ou GA = QA v mod n 

2 - une deuxieme entite appelee dispositif de signature, pouvant etre 
egalement contenue dans ledit objet nomade, 

3 - une troisieme entite appelee dispositif contrSleur se presentant 
sous la forme d'un terminal et/ou d'un serveur distant connecte k un reseau 
de communication informatique, 

ledit objet nomade comporte des moyens de connexion pour connecter 
dlectriquement, electromagnetiquement, optiquement ou de mani&re 
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acoustique ledit dispositif temoin et ledit dispositif de signature audit 
dispefsitif controleur, 

pouF^prouver^ la signature d'un message ledit objet nomade execute les 
etapes suivantes : 

• etape 1. engagement R du dispositif temoin** 

- le dispositif temoin comporte des premiers rnoyens de calcul pour tirer au 
hasard et en prive, a chaque appel, au moins une collection de nombres 
entiers {r,, r 2 , r 3 , ...},telle que pour chaque facteur premier p., chaque 
collection comporte un alea i^positif et plus petit que p ( , 

- le dispositif temoin comporte des deuxiemes rnoyens de calcul pour elever 
chaque alea r, a la puissance v feme modulo p. , pour chaque facteur 
premier^ 4 

R^i^mod p-^ 

de sorte que*le^nombrfe d* Operations arithmetiques modulo p, k effectuer par 
les deuxiei*res*m©y,ens^ pour chacun 

des p. est reduit 4paPcrapporfe>A : ce qu'il se*ait**si les operations etaient 
effefetuees^modulolnfWte 

- puis, lesdits deuxi&mes rnoyens de calcul dudit dispositif temoin 
etablissent chaque engagement R modulo n selon la methode des restes 
chinois, 

de telle sorte qu'il y a autant d' engagements R que de collections d'aleas 
r 2> r 3 , •••}, 

• etape 2. defi d destine au dispositif temoin : 

- ledit dispositif de signature comporte des troisiemes rnoyens de calcul 
pour calculer, en appliquant une fonction de hachage f ayant comme 
arguments le message m et chaque engagement R, au moins une collection 
de defis d {dA, dB? ...} tels que 0 < dA < v - 1, le nombre^es collections 
de d6fis d etant egal au nombre d' engagements R, chaque collection {dA, 
dB, ...} comprenant un nombre de d6fis egal au nombre de paires de cles, 
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- le dispositif de signature transmet les collections de defis dl au temoin, 

o etape 3* repomse dun dSspositif temonm ami dlelffi d t 

- ledit dispositif temoin comporte des quatrifcmes moyens de calcul pour 
calculer des reponses D 9 k partir desdites collections de d6fis d {dA, dB, 
.••} re9ues du dispositif controleur, 

en effectuant des operations du type : 

B, = n\ • QA, dA . QBj * . ... mod p, 
puis en appliquant la methode des restes chinois, 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer par 
les quatriemes moyens de calcul pour calculer chacun des B, pour chacun 
des p. est reduit par rapport k ce qu'il serait si les operations 6taient 
effectudes modulo mi, 

de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

- l'objet nomade comporte des moyens de transmission pour transmettre les 
reponses B au dispositif de signature et/ou au dispositif controleur, 

0 etape 4. domnniees destnimees am disposittilF comtroJeur % 

- Fobjet nomade comporte des moyens de transmission pour transmettre au 
dispositif controleur un message sign6 comprenant : 

/ le message m 9 

1 les collections de defis d ou les engagements R, 
/ chaque reponse B 

o ©tape So verifficaltSoini par le dispositif comttrdlemiir t 
ledit dispositif controleur verifle la coherence des triplets {R 9 d, B} et la 
signature numerique du message m. 

26. Objet nomade selon Tune quelconque des revendications 21 k 25 
tel que les composantes QA 1? QA 2 , ... (QA, , o..), et QM l9 QB l9 ... (QB I , 
...), des cles privees QA, QB, ... sont des nombres tir6s au hasard k 
raison d'une composante QA. , QB, , ... pour chacun desdits facteurs 
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premiers p p lesdites cles privees QA, QB, pouvant etre calculus k partir 
desdites composantes'QA,, QA 2 , ... (QA r , ...), et QB„ QB 2 , .. (QB r , ...), 
par la methode des restes chinois, 

ledit dispositif temoin comportant des huitiemes moyens de calcul pour 
calculer lesdites cles publiques GA, GB, 

• en effectuant des operations du type : 

GAj = QA, V mod p, 

• puis en appliquant la methode des restes chinois pour etablir GA tel que 

GA = QA V mod n 

ou bien tel que 

GA.QA* mod n = 1 

de sorte que le nombre d'operations arithm6tiques modulo p, k effectuer par 
les huitiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p. est reduit par rapport k ce qu'il serait si les 
operations etaient effectuees modulo n, 

27. Objet nomade selon la revendication 26 tel que Texposant public 
de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une security equivalente k la 
connaissance de la cle privee QA. 

28. Objet nomade selon Tune quelconque des revendications 21 a 25 
tel que l'exposant public de verification v est du type 

v = a k 

ou k est un parametre de securite plus grand que 1 . 

29. Objet nomade selon la revendieation*28 tel que : 

- l'exposant public de verification v est du type 

v = 2 k 

ou k est un paramfctre de securite plus grand que 1, 

- la c\6 publique GA est un carre gA 2 inf^rieur a n choisi de telle 
sorte que les deux equations 
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= gA modi n et x 2 = = gA modi m 
n'ont pas de solution en x dans Panneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer lesdites composantes QA l9 QA 29 (QA. 9 de la cl6 
priv6e QA en appliquant des formules telles que : 

GAs QA, ^Vinntodl p, 

ou bien telles que : 

GA .QA, mod p,s 1 
et en extrayant la k ieme racine carr6e de GA dans le corps de Galois 
CGGft), 

de sorte que le nombre d' operations arithmetiques modulo p, k effectuer par 
les neuviemes moyens de calcul du dispositif t6moin pour calculer chacun 
des QA, pour chacun des p, est reduit par rapport a ce qu'il serait si les 
operations etaient effectives modulo e, 

de sorte que la paire de cles GA, QA confere une securite equivalente k la 
connaissance de la factorisation de n. 

3®. Objet nomade selon la revendication 29 tel que pour extraire la k 
ieme racine carree de GA dans le corps de Galois CG(p,), 

* dans le cas ou le facteur premier p. est congru h 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 

x = (p+l)/4 ; y = x k mod (p-1) ; z = y ; QA. s GA Z mod p. 

* dans le cas ou le facteur premier p. est congru & 1 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme bas6 sur les suites de Lucas. 

31c Dispositif de controle permettant de diminuer la charge de travail 
pendant une session destinee a verifier : 

- 1' authenticity d'une entity et/ou 

- Torigine et Tintegrite d'un message m, 
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ledit dispositif de contr61e se presentant sous la forme d'un terminal ou 
d'un serveur distant connect^ h un reseau de communication informatique, 
ledit dispositif de contrSle mettant en oeuvre : 

- un module public n tel que n soil le produit de facteurs premiers 
secrets p l5 p 2 , ... (p,, ...) (i etant sup6rieur ou egal k 2) 

n = Pi-Pj* P 3 > 

- des ctes publiques GA, GB, ... 

- des exposants publics de verification vx, vy, ... 

lesdites cles privies GA et les cles publiques assoctees QA etant li6es par 
des relations du type : 

GA.QA V1 mod n = 1 ou GA = QA^mod n 
ledit dispositif de contr61e faisant intervenir trois entit6s t 

- une premi&re entity, appetee dispositif temoin, contenue notamment 
dans un objet nomade se presentant par exemple sous la forme d'une carte 
bancaire a microprocesseur, ledit dispositif t6moin produisant des 
engagements R, 

- une deuxi&me entit6 appetee dispositif pilote dudit dispositif temoin 
pouvant etre contenue notamment dans ledit objet nomade, 

- une troisi&me entite, appelee dispositif contrSleur, contenue dans 
ledit dispositif de controle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique ledit 
dispositif controleur audit dispositif t€moin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donn6es produites 
par ledit dispositif contr61eur vers ledit dispositif t6moin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donn^es provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 
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ledit dispositif contr61eur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs d6fis 
dtelque©<dl<vs = ll 9 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses B revues dudit dispositif t6moin et/ou dudit dispositif pilote, des 
engagements W en effectuant des operations du type : 

M^sGA'.D" mod® 

ou du type : 

R\oGA d =D V0 mm&m 

- des troisiemes moyens de calcul pour verifier que les triplets {R% 
d 9 P} sont cohdrents 

32. Dispositif de contrSle permettant de diminuer la charge de travail 
pendant une session destin6e h verifier, 

- F authenticity d'une entit6 et/ou 

- Forigine et Pintegrit6 d'un message mm, 

ledit dispositif de controle se presentant sous la forme d'un terminal ou 
d'un serveur distant connecte k un rdseau de communication informatique, 
ledit dispositif de contrSle mettant en oeuvre : 

- un module public in tel que im soit le produit de facteurs premiers 
secrets p l9 p 2 , coo (p., «„) (i etant superieur ou egal k 2) 

ffll = PjoP 2 o P30 oco , 

- des cl6s publiques GA, GIB, ... 

- un exposant public de verification v 

lesdites cles priv6es GA et les cl6s publiques associees QA etant liees par 
des relations du type : 

GAoQA v mod mis 1 oe GA = QA v mod un 
ledit dispositif de contrSle faisant intervenir trois entites : 

- une premiere entitd, appe!6e dispositif t&noin, contenue notarnment 
dans un objet nomade^se presentant par exemple sous la forme d'une carte 



151 



bancaire a microprocesseur, ledit dispositif temoin produisant des 
engagements R, 

- une deuxieme entit6, appelee dispositif pilote dudit dispositif 
temoin, pouvant 6tre contenue notamment dans ledit objet nomade* 

- une troisieme entit6, appelee dispositif contr£leur, contenue dans 
ledit dispositif de contrdle, 

ledit dispositif de controle comporte : 

- des moyens de connexion pour connecter 61ectriquement, 
electromagn&iquement, optiquement ou de maniere acoustique ledit 
dispositif contrdleur audit dispositif temoin et/ou audit dispositif pilote, 

- des moyens de transmission pour transmettre les donnees produites 
par ledit dispositif contrdleur vers ledit dispositif temoin et/ou ledit 
dispositif pilote, 

- des moyens de reception pour recevoir les donnees provenant dudit 
dispositif temoin et/ou dudit dispositif pilote, 

ledit dispositif controleur comporte : 

- des premiers moyens de calcul pour produire un ou plusieurs defis 
d {dA, dB, ...} tels que 0 < dA £ v - 1, 

- des deuxiemes moyens de calcul pour calculer, en fonction des 
reponses D re?ues du dudit dispositif temoin et/ou dudit dispositif pilote, 
des engagements R' en effectuant des operations du type : 

R'= GA iA . GB dB . ...D T mod n 

ou du type : 

R' GA". GB " . ... = D ¥ mod n 

- des troisiemes moyens de calcul pour verifier que les triplets {R% 
d, D} sont coherents. 

33. Dispositif de contr61e selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session .destinee a verifier 
I' authenticity d'une entity ; 
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dans le cas d'une authentification d'entite, le dispositif pilote est appele 
dispositif demonstrates, 

pour prouver 1' authenticity d'une entite ledit dispositif de contrdle execute 
les 6tapes suivantes : 

o eltape 1. enngagemeirntt K dm disposMff ftenroonini t 

- le dispositif temoin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r l9 r 2? r 3? .oo},telle que, pour chaque facteur premier 
IP,, chaque collection comporte un alea r. entier positif et plus petit que p , 
de telle sorte qu'il y a autant d'engagements R que de collections d'aleas , 

o ettape 2. deOs prodlnnits par De disposMff comiitirofleMir et destinnes ana 
disposMff ttemmonini s 

- lesdits moyens de reception du dispositif de contrdle regoivent tout ou 
partie de chaque engagement R 9 transmis par le dispositif demonstrates, et 
le transmet au dispositif contrdleur, 

- le dispositif contrdleur comporte des premiers moyens de calcul pour 
calculer, apres avoir regu tout ou partie de chaque engagement R 9 au moins 
une collection de defis d {dA, dB 9 tels que 0 < dA < v = 1, le nombre 
des collections de defis d etant egal au nombre d'engagements R 9 chaque 
collection {dA ? dB, a*-} comprenant un nombre de defis egal au nombre de 
paires de cl6s, 

o ettape 3* repoese dm dSspositiff temoim ma defis d s 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des reponses D , a partir desdites collections de defis d {dA, dB,- 
o.o} re?ues du dispositif controleur, de telle sorte qu'il y a autant de 
reponses D que d'engagements R et de dSfis d, 

o ettape 4. dominees desttnnees ao dispositif comlroleumr t 

- les moyens de reception du dispositif de contrdle refoivent du dispositif 
demonstrates chaque reponse ID>, 

o eltape 5« verifficatiom par le dispositif controleiar : 
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ledit dispositif contrSleur comporte des deuxiemes moyens de calcul pour 
calculer k partir de chaque r6p(5n§g*D tin engagement R' en effectuant des 
operations du type-*: 

R>= GA *\ GB dB . ...D v mod*n 

ou du type : 

R' . GA . GB dB . ... = D v mod n 

ledit dispositif contrdleur comporte des troisifemes moyens de calcul pour 
comparer et verifier que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R transmis k F etape 2 par le dispositif 
demonstrates 

34. Dispositif de contrdle selon la revendication 32 permettant de 
diminuer la charge^de travail pendanfc une session destin6e k v6rifier 
1* authenticity d'un-messag^m^ 

dans;-le <s;as*d'une authentification d ? utemessage m, le dispositif pilote est 
appete disp 4 ositifed6monstrateur^ 

pour prouver-rauthenticit^Td'un message; m,< ledit dispositif de contrSle 
ex6cute4es*^taLpes*suiiv;antes^ 

• etape 1. engagement R du dispositif temoin : 

- le dispositif tSmoin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r,, r 2 , r 3 , ...},telle que, pour chaque facteur premier 
p., chaque collection comporte un alea r, entier positif et plus petit que p. , 
de telle sorte qu'il y a autant d'engagements R que de collections d'ateas , 

• etape 2. defis d produits par ledit dispositif contrdleur et 
destines au dispositif temoin : 

- lesdits moyens de reception du dispositif de contr6Ie re9oivent au moins 
un jeton T calculi et transmis par le dispositif demonstrates en appliquant 
une fonction de hachage f ayant comme arguments le message m et chaque 
engagement R, 

- ledit dispositif controleur comporte des premiers moyens de calcul pour 




calculer, apr&s avoir re?u le jeton T 9 au moins une collection de defis d 
{dA, dB, ...} tels que © < dA < v - 1, le nombre des collections de defis d 
etant egal au nombre d' engagements R 9 chaque collection {dA 5 &M 9 oeo } 
comprenant un nombre de defis egal au nombre de paires de cles, 
o ettape 3* repomse die disposiiiff temnionini sm deffii d 1 

- ledit dispositif temoin comporte des quatriemes moyens de calcul pour 
calculer des r6ponses D, a partir desdites collections de d£fis d {dA, dB, 
• •0} re9ues du dispositif contr61eur 9 de telle sorte qu'il y a autant de 
reponses D calculees par le temoin que d' engagements R et de defis d, 

o etape 4. donnees destiimees ae dSsposittiff conttrdleimr : 

- les moyens de reception du dispositif de contrdle re?oivent du dispositif 
demonstrateur chaque reponse ED, 

o etape 5. vernffScatioim par le dispositiff comttrdknur t 
ledit dispositif controleur comporte des deuxiemes moyens de calcul pour 
calculer k partir de chaque reponse D un engagement W en effectuant des 
operations du type : 

r=GA d \GB dB eoe .D v modn 

ou du type : 

R\ GA dA o GB ** .... = D v mod mi 
ledit dispositif controleur comporte des troisiemes moyens de calcul pour 
calculer, en appliquant la fonction de hachage f ayant comme arguments le 
message m et chaque engagement R% le jeton T\ 

ledit dispositif controleur comporte des quatriemes moyens de calcul pour 
comparer et verifier que le jeton T* est identique au jeton T transrnis a 
F etape 2 par le dispositif demonstrateur. 

35. Dispositif de controle selon la revendication 32 permettant de 
diminuer la charge de travail pendant une session destinee a verifier la 
signature num&ique d'un message m, 

dans le cas d'une authentication d'un message m, le dispositif pilote est 
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appel6 dispositif de signature, 

pour prouver la signature numerique du message m, ledit dispositif de 
contrdle execute les etapes suivantes : 

• etape 1. engagement R du temoin : 

- le dispositif temoin produit au moins un engagement R k partir d'au moins 
une collection d'aleas {r 1? r 2 , r 3 , ...}, telle que pour chaque facteur premier 
p., chaque collection comporte un alea r. entier positif et plus petit que p, , 
de telle sorte qu'il y a autant d'engagements R que de collections d'ateas , 

• etape 2. defis d destines au dispositif temoin : 

- ledit dispositif de signature calcule, en appliquant une fonction de hachage 
f ayant comme arguments le message m et chaque engagement R, au moins 
une collection de defis d {dA, dB, ...} tels que 0 < dA < v - 1, le nombre 
des collections de defis d etant 6gal au nombre- -d* engagements R, chaque 
collection {dA, dBj .•.} comprenant un nombre de defis dgal au nombre de 
paires de cles^ 

- le dispositif de signature transmet les collections de defis d au 
temoin, 

• etape 3. reponse du dispositif temoin au defi d : 

- ledit dispositif temoin comporte des quatri&mes moyens de calcul pour 
calculer des reponses D, a partir desdites collections de defis d {dA, dB, 
...}, de telle sorte qu'il y a autant de reponses D calculees par le temoin que 
d' engagements R et de defis d, 

- ledit dispositif temoin comporte des moyens de transmission pour 
transmettre les reponses D au dispositif de signature et/ou au dispositif 
controleur, 

• etape 4. donnees destinees au dispositif controleur -: 

- les moyens de reception du dispositif de controle refoivent du dispositif 
de signature un message signe comprenant : 

/ le message 




/ les collections de defis d ou les engagements R, 
/ chaque reponse D 

o ettape 5. veirMcaltnoini par le disposiittilF coimtrofleiijiir 1 
cas ou le disposittnff comtrfileuir re^oit la collecttionn dies deffis d 9 
dans le cas ou le dispositif controleur regoit les collections des defis dl et 
des reponses B> 9 

ledit dispositif controleur comporte 

* des premiers moyens de calcul pour calculer k partir de chaque 
reponse D un engagement R 9 en effectuant des operations du type : 

R'=GA dA .GB dB oo..D T modi mi 

ou du type : 

rXA^.GI^o 000= D v mod 211 

* des deuxiemes moyens de calcul pour calculer chaque defi d', en 
appliquant la fonction de hachage IF ayant comme arguments le -message mm 
et chaque engagement reconstruit R\ 

* des troisifemes moyens de calcul pour comparer et verifier que 
chaque defi d 9 est identique au defi d figurant dans le message sign6, 

cas ou le dispositif controleuir revolt la collectioint. dies eimgagemeimis R 
dans le cas oh le dispositif controleur regoit la collection des engagements 
R et des reponses D, 
ledit dispositif controleur comporte 

* des premiers moyens de calcul pour calculer chaque d6fi d% en 
appliquant la fonction de hachage f ayant comme arguments le message m 
et chaque engagement R 9 

* des deuxiemes moyens de calcul pour calculer alors la collection 
des engagements R 5 en effectuant des operation du type ^ 

R' = GA d ' A . GB d ' B . ... D v mod n • 

ou du type : 

R' o GA d ' A . GB dB . .„o= D v mod in 
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* des troisiemes moyens de calcul pour comparer et verifier que 
chaque engagement R' reconstruit est identique k l'engagement R figurant 
dans le message sign&. 

36. Dispositif de controle selon Tune quelconque des 
revendications 31 a 35 tel que les composantes QA t , QA 2 , ... (QA., ...), et 
QB,, QB 2 , ... (QB., ...), des cles privees QA, QB, ... sont des nombres 
tires au hasard a raison d'une composante QA. , QB, , ... pour chacun 
desdits facteurs premiers p.," lesdites cles privies QA, QB, pouvant etre 
calculees k partir desdites composantes QA,, QA 2 , ... (QA, , ...), et QB„ 
QB 2 , ... (QB., ...), ... par la methode des restes chinois, 

ledit dispositif temoin comportant des moyens de calcul pour calculer 
lesdites cl6s publiques GA, GB, 

• en effectuant des operations du type : 

GA } = QA; mod p t 

• puis en appliquant la methode des restes chinois pour etablir G A tel que 

GA = QA v modn 

ou bien tel que 

GA.QA T mod n = 1 

de sorte que le nombre d' operations arithmetiques modulo p, a effectuer par 
les tantiemes moyens de calcul dudit dispositif temoin pour calculer chacun 
des GA. pour chacun des p. est reduit par rapport k ce qu'il serait si les 
operations etaient effectuees modulo n, 

37. Dispositif de controle selon la revendication 36 tel que 
Texposant public de verification v est un nombre premier, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la cle privee QA. 

38. Dispositif de controle selon Tune quelconque des 
revendications 31 a 35 tel que Texposant public de verification v est du 
type 
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v = a k 

ou k est un parametre de security plus grand que 1. 

39. Dispositif de controle selon la revendication 38 tel que : 

- Fexposant public de verification v est du type 

v = 2 k 

ou k est un parametre de securit6 plus grand que 1 , 

- la cle publique GA est un carrd gA 2 inf6rieur h m choisi de telle 
sorte que les deux 6quations 

x 2 = g A mod n et x 2 = - gA mmodl un 
n'ont pas de solution en x dans l'anneau des entiers modulo n 

- ledit dispositif temoin comportant des neuviemes moyens de calcul 
pour calculer les dites composantes QA l9 QA 2 , (QA, 9 o,*) de la cl6 
privee QA en appliquant des formules telles que : 

GA= Q A i 2exp<k> modi p t 

ou bien telles que : 

GA .QA, 2 * e * p(eo raodl p f = 1 
et en extrayant la k ieme racine carree de GA dans le corps de Galois 
CG(p ( ) 

de sorte que le nombre d' operations arithmfitiques modulo p, a effectuer par 
les neuviemes moyens de calcul du dispositif temoin pour calculer chacun 
des QA. pour chacun des p. est reduit par rapport a ce qu'il serait si les 
operations etaient effectuees modulo ns, 

de sorte que la paire de cles GA, QA confere une securite equivalente a la 
connaissance de la factorisation de mi. 

4®. Dispositif de controle selon la revendication 39 tel que pour 
extraire la k ieme racine carree de GA dans le corps de Galois CG(p ( ), 

* dans le cas ou le facteur premier p. est congru k 3 modulo 4, les 
neuviemes moyens de calcul du dispositif temoin appliquent notamment un 
algorithme du type : 
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x = (p+l)/4 ; y = x" mod (p-1) ; z = y ; QA. = GA l mod Pi 
* dans'le cas ©u le facteur premiefp. est corigru a 1 modulo 4, les 
neuviemes moyens de calcul du dispositif t6moin appliquent notamment un 
algorithme base" sur les suites de Lucas. 
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Par consequent, le nombre : v (p+i)/2 (mod p) est alors une 

solution h V Equation : x 2 = c (mod p). 

Les relations suivantes sont utilisees pour calculer les suites {£/} et {V} 
ensemble. 

Pour doubler l'indice, u 2 j = Wj.v,-; v 2 /= v? - 2.C 1 
Pour ajouter 1 a V indice, = + v f )/2; v l+1 = (Am ( + S^)/! 

La procedure suivante utilise trois variables : x pour y pour v. et z pour c. 
L'indice cible est (p+l)/2 ; il est code par une sequence de j bits. Cette 
sequence est examinee du bit de poids fort au bit de poids faible. 

1 . Donner k x la valeur 0 ; donner h y la valeur 2 ; donner & z la valeur 1 . 

2. R6p6ter j fois la sequence suivante. 

Remplacer x par x.y (mod p). 
Remplacer y par y 2 - 2.z (mod p) 

Remplacer z par z (mod/?)- 

Si le j ieme bit codant l'indice cible vaut 1, executer la 
s6quence suivante. 

Remplacer t par x. 

Remplacer x par (S.t + y)/2 (mod p). 
Remplacer y par {S.t + A.y)/2 (mod p) 
Remplacer z par z.c (mod />). 

3. Remplacer y par y/2 (mod p). Le resultat cherch6 est y. 
2o2o Algorithm© aPEuiidMe 

L'algorithme d'Euclide opere la division des entiers. Soient deux entiers 
positifs x et y tels que x soit plus grand que y. Divisons x par y pour obtenir 
un quotient q positif et plus petit que ou egal h x et un reste r positif ou nul 
et plus petit que y. 

Soit, 0 < y < x 
Par consequent, x = q.y + r avec 0<q<x et 0<r<y 

2o2olo Coeffflciemitts die Bezoualt et pgcdl 
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